Android Datenschutz unter der Lupe - eine Geschichte aus dem Reich der Mitte

  Lioh Möller   Lesezeit: 4 Minuten  🗪 14 Kommentare

Eine Studie belegt, dass Smartphones chinesischer Hersteller massenhaft Daten an Drittanbieter übermitteln.

android datenschutz unter der lupe - eine geschichte aus dem reich der mitte

Kaufen Sie kein Android-Handy aus China, haben sie gesagt. Sie seien vorinstalliert, mit Apps, welche datenschutzrelevante Daten ohne die Zustimmung des Nutzers an Drittanbieter übermitteln.

Diese These konnte nun von den Forschern Haoyu Liu (University of Edinburgh), Douglas Leith (Trinity College Dublin) und Paul Patras (University of Edinburgh) in einer Studie mit dem Titel 'Android OS Privacy Under the Loupe – A Tale from the East' bestätigt werden.


Dabei wurden vorinstallierte Android-Systemanwendungen auf Mobiltelefonen der Hersteller OnePlus, Xiaomi und Oppo Realme analysiert. Bei den Untersuchungen wurde Wert darauf gelegt, dass keine weiteren Konten eingerichtet und keine Cloud-Speicher angebunden wurden. Auch auf eine Anmeldung mit einem Google-Account wurde verzichtet.


Zu den vorinstallierten Anwendungen zählen Android AOSP-Paketen, Herstellercode und Software von Drittanbietern. Auf jedem der untersuchten Android-Geräte mit chinesischer Firmware wurden mehr als 30 Pakete von Drittanbieter gefunden.

Dazu zählen unter anderem Tastatur-Applikationen wie Baidu Input, IflyTek Input und Sogou Input auf dem Xiaomi Redmi Note 11. Auf dem OnePlus 9R und dem Realme Q3 Pro kommt darüber hinaus standardmässig Baidu Map als Navigations-App zum Einsatz, welche dauerhaft im Hintergrund läuft. Ausserdem wurden unterschiedliche Nachrichten-, Video-Streaming- und Online-Shopping-Apps in die chinesische Firmware integriert.

Die Forscher fanden heraus, dass Android-Handys der drei genannten Hersteller "eine beunruhigende Menge an persönlich identifizierbaren Informationen (PII) nicht nur an den Gerätehersteller, sondern auch an Dienstanbieter wie Baidu und an chinesische Mobilfunknetzbetreiber senden".

Die getesteten Telefone taten dies auch dann, wenn diese Netzbetreiber keine Dienste anboten - es war während der Tests keine SIM-Karte mit diesen Anbietern verbunden.

Die Daten, die wir bei der Übertragung beobachten, umfassen dauerhafte Gerätekennungen (IMEI, MAC-Adresse usw.), Standortkennungen (GPS-Koordinaten, Mobilfunkzellen-ID usw.), Benutzerprofile (Telefonnummer, App-Nutzungsmuster, App-Telemetrie) und soziale Verbindungen (Anruf-/SMS-Verlauf/Zeit, Kontakttelefonnummern usw.)

, schreiben die Forscher in ihrem Papier.

Kombiniert stellen diese Informationen ein ernsthaftes Risiko für die Deanonymisierung von Nutzern und ein umfassendes Tracking dar, insbesondere da in China jede Telefonnummer unter einer Bürger-ID registriert ist.

Als Beispiel geben die Forscher an, dass das Redmi-Telefon POST-Requests an die URL 'tracking.miui.com/track/v4' sendet, sobald die vorinstallierten Apps Einstellungen, Notizen, Rekorder, Telefon, Nachrichten und Kamera geöffnet und verwendet werden. Die Daten werden auch dann gesendet, wenn der Nutzer die Option 'Nutzungs- und Diagnosedaten senden' beim Gerätestart deaktiviert hat.

POST https://tracking.miui.com/track/v4
{ "imsis": "[b2d5c6783e3fa6eef38ff1fc7dedfb10,]",..,
{"pkg": "com.xiaomi.smarthome","action": "
first_launch", "fit": 1666816796000, ...},
{"pkg": "com.android.settings","ts": 1666818456958,"
duration": 1424, ...},
{"pkg": "com.miui.securityinputmethod","ts":
1666818463544,"duration": 4706, ... },
{"pkg": "com.miui.notes","ts": 1666818784908,"stat":
"app_start",...}...}

Auch in Ländern ausserhalb des Reichs der Mitte, in denen strengere Datenschutzregelungen gelten, erfolgt die Datenerfassung.

Eine weitere Erkenntnis der Forscher ist, dass auf chinesischen Android-Distributionen drei- bis viermal mehr Apps von Drittanbietern vorinstalliert sind als auf Android-Basisgeräten aus anderen Ländern. Ein Grossteil dieser Applikationen ist mit weitreichenden Rechten ausgestattet.

Insgesamt zeichnen unsere Ergebnisse ein beunruhigendes Bild vom Zustand des Datenschutzes auf dem weltweit größten Android-Markt und unterstreichen die dringende Notwendigkeit strengerer Datenschutzkontrollen, um das Vertrauen der Bürger in Technologieunternehmen zu stärken, von denen viele teilweise in Staatsbesitz sind

, so die Forscher abschliessend.

Quellen:

https://www.scss.tcd.ie/Doug.Leith/pubs/wisecfp034-liu.pdf
https://www.theregister.com/2023/02/07/chinese_android_phones_leak_pii/

Reactorius
Geschrieben von Reactorius am 9. Februar 2023 um 10:18

Schön zu hören, daß sich europäische Forscher aus Irland(!) und Schottland chinesische Phones aufgrund ihres Trackingverhaltens angesehen haben...

Wie wäre es denn mal gleichzeitig den Rotz den die fette Tante als Hauptdatenaggregator des Androiduniversums sammelt, zu screenen und öffentlich zu machen! https://social.tchncs.de/@kuketzblog/109795530661738884

Eine Taschenwanze bleibt eine Taschenwanze!

mgm
Geschrieben von mgm am 10. Februar 2023 um 09:42

Da hast Du vollkommen recht nur ist selbst bei Apple nicht anders sondern laut Informationen vermutlich noch schlimmer . Die Frage nur, was sollten wir dagegen tun? Die Usability ist selbst bei /e/Os nicht das gelbe vom Ei vor allem bei den Secure Updates immer hinterher. Nokia 3110 oder wie?

fedora
Geschrieben von fedora am 9. Februar 2023 um 11:52

Extrem beunruhigend, nur ist das nicht bei Apple, Google, Samsung ebenso der Fall? Ich denke wir geben uns vor allem bei Apple einer vorgegaukelten Sicherheit hin dem Datenschutz entsprechend. Wurden nicht die AppleDevices in ihrem Verbund nicht als das größte Überwachungsnetzwerk überhaupt entlarvt?

Interessanter Beitrag in jedem Fall... Danke dafür

Mark
Geschrieben von Mark am 9. Februar 2023 um 12:30

Und welche Mobiltelefone welches Herstellers kann man "unbesorgt" kaufen? Das Thema an sich kann man auch locker ausdehnen auf Router, Smartwatches, Notebooks, Autos, ....

Art
Geschrieben von Art am 9. Februar 2023 um 12:42

...das ist leider nicht auf "China Phones" beschränkt, sondern im Android Umfeld die Norm - auch bei den vermeintlichen "Premium" Herstellern -> Samsung verkauft Vorinstallationen von Spyware an Dritte (Facebook, Twitter, etc.): https://arstechnica.com/gadgets/2023/02/the-samsung-galaxy-s23s-bloated-android-build-somehow-uses-60gb-of-storage/

Ein Arbeitskollege empfiehlt einen Autodebloater: https://github.com/0x192/universal-android-debloater Ich verwende nur noch CustomROMs und habe das noch nicht getestet.

Philipp
Geschrieben von Philipp am 9. Februar 2023 um 19:38

Danke für den Bericht! Ich habe vor etwas mehr als einem Jahr ein Fairphone 4 gekauft. Ich habe ein paar Wochen gewartet bis ein alternatives ROM erschien und da war IodeOS am schnellsten und ich bin bisher sehr zufrieden. Opensource Android -> Lineageos -> IodeOS unterdessen mit Android 13 Unterbau. IodeOS ist bekannt für seinen eigenen Blocker. Jedes App kann man auf div. Stufen bezüglich Sicherheit anpassen. Z.b. bei Kostenlosen Apps werden von Standard aus alle Werbungen geblockt :D Der Quellcode ist zwar seit ein paar Monaten total Opensource aber überall gilt vertrauen ausser Spezialisten nehmen es auseinander. Desktop PC bin ich privat schon lange auf Linux unterwegs. Microsoft Windows macht etwa das Selbe wie hier in diesem Bericht erwähnt.

Thomas S.
Geschrieben von Thomas S. am 9. Februar 2023 um 19:58

"Kaufen Sie kein Android-Handy aus China ..."

Wenn ich das richtig verstanden habe geht es in der Untersuchung um Handys, die in China gekauft wurden, nicht um internationale Modelle chinesischer Hersteller. Wäre also einmal interessant in Deutschland angebotene Handys verschiedener Hersteller bzgl. des Datenschutzes zu vergleichen.

Lioh
Geschrieben von Lioh am 9. Februar 2023 um 20:00

Aus meiner persönlicher Erfahrung machen die Geräte hier genau das gleiche.

Thomas S.
Geschrieben von Thomas S. am 10. Februar 2023 um 15:39

Das scheint so nicht zu stimmen. Ich habe mir Deinen ersten Link mal genauer angeschaut:

Schließlich führen wir eine regionsübergreifende Analyse durch und vergleichen die vorinstallierten System-Apps auf den chinesischen (CN) und globalen (z. B., EU) Android OS-Distributionen von denselben OS-Entwicklern. Wir finden, dass die Anzahl der vorinstallierten Drittanbieter-Apps auf CN OS Distributionen 3- bis 4-mal größer ist als bei der entsprechenden globalen OS-Distribution, und dass diese 8- bis 10-mal so viele Berechtigungen erhalten als Drittanbieter-Apps in Global-Distributionen, einschließlich viel mehr als gefährlich eingestufte Berechtigungen.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

Das heißt natürlich nicht, dass bei den globalen Versionen alles in Ordnung ist.

Lioh
Geschrieben von Lioh am 10. Februar 2023 um 15:48

Und so steht es ja auch im Text:

Eine weitere Erkenntnis der Forscher ist, dass auf chinesischen Android-Distributionen drei- bis viermal mehr Apps von Drittanbietern vorinstalliert sind als auf Android-Basisgeräten aus anderen Ländern. Ein Grossteil dieser Applikationen ist mit weitreichenden Rechten ausgestattet.

Mancus Nemo
Geschrieben von Mancus Nemo am 9. Februar 2023 um 22:21

Wie wäre es mal mit politischen Konsequenzen fordern. Man könnte ja mal mit saftigen Geldstrafen anfangen und mit Verkaufsverboten aufhören. Sonst wird sich nie was ändern.

Ich selbst nutze ein Fairephone 3+ gerootet mit LineageOS mit nem Werbeblocker und ner Firewall dauf.

Man wird ja sonst nicht verarscht...

Selbst LineageOS nackt klaut auch Daten unterm Arsch weg. Das da die Datenschutzverrückten noch keine Klage los getreten haben hat mich bisher auch schon überrascht.

Android kann gar nicht sicher werden, weil es gebaut wurde um den Kunden die Daten unterm Arsch weg zu klauen! Es ist also schon vom konzept her kaputt!

Um das zu lösen müsste eigentlich endlich mal ein echte Linux phone her, aber bisher ist das nicht sonderlich von Erfolg gekrönt...

noisefloor
Geschrieben von noisefloor am 10. Februar 2023 um 10:04

Ihr sollte in eurem Blogpost vielleicht klarer herausstellen, dass die untersuchten Telefon auch in China gekauft wurde. Die aktuelles Formulierung im Blogeintrag kann man auch gut so verstehen, dass es sich auf alle in China hergestellten Smartphones bezieht. Tut's vielleicht auch - weiß aber niemand.

Michael
Geschrieben von Michael am 10. Februar 2023 um 13:06

Das Ausmass und die Dreistigkeit des Auspionierens ist in der Tat erschreckend. Dass dies auch bei anderen Herstellern so gehandhabt wird, würde mich nicht wirklich wundern. Ob mehr oder weniger kann ich nicht beurteilen. Interessieren würde mich aber, ob dies mit dem Datenschutzrecht vereinbar ist. Und wenn nicht, ob und wie man dagegen vorgehen könnte.

Oracle Fusion HCM Training
Geschrieben von Oracle Fusion HCM Training am 1. November 2023 um 10:08

Really very happy to say, your post is very interesting article