Android Datenschutz unter der Lupe - eine Geschichte aus dem Reich der Mitte

Eine Studie belegt, dass Smartphones chinesischer Hersteller massenhaft Daten an Drittanbieter übermitteln. Lesezeit: 4 Minuten

Do, 9. Februar 2023, Lioh Möller

Kaufen Sie kein Android-Handy aus China, haben sie gesagt. Sie seien vorinstalliert, mit Apps, welche datenschutzrelevante Daten ohne die Zustimmung des Nutzers an Drittanbieter übermitteln.

Diese These konnte nun von den Forschern Haoyu Liu (University of Edinburgh), Douglas Leith (Trinity College Dublin) und Paul Patras (University of Edinburgh) in einer Studie mit dem Titel 'Android OS Privacy Under the Loupe – A Tale from the East' bestätigt werden.

Dabei wurden vorinstallierte Android-Systemanwendungen auf Mobiltelefonen der Hersteller OnePlus, Xiaomi und Oppo Realme analysiert. Bei den Untersuchungen wurde Wert darauf gelegt, dass keine weiteren Konten eingerichtet und keine Cloud-Speicher angebunden wurden. Auch auf eine Anmeldung mit einem Google-Account wurde verzichtet.

Zu den vorinstallierten Anwendungen zählen Android AOSP-Paketen, Herstellercode und Software von Drittanbietern. Auf jedem der untersuchten Android-Geräte mit chinesischer Firmware wurden mehr als 30 Pakete von Drittanbieter gefunden.

Dazu zählen unter anderem Tastatur-Applikationen wie Baidu Input, IflyTek Input und Sogou Input auf dem Xiaomi Redmi Note 11. Auf dem OnePlus 9R und dem Realme Q3 Pro kommt darüber hinaus standardmässig Baidu Map als Navigations-App zum Einsatz, welche dauerhaft im Hintergrund läuft. Ausserdem wurden unterschiedliche Nachrichten-, Video-Streaming- und Online-Shopping-Apps in die chinesische Firmware integriert.

Die Forscher fanden heraus, dass Android-Handys der drei genannten Hersteller "eine beunruhigende Menge an persönlich identifizierbaren Informationen (PII) nicht nur an den Gerätehersteller, sondern auch an Dienstanbieter wie Baidu und an chinesische Mobilfunknetzbetreiber senden".

Die getesteten Telefone taten dies auch dann, wenn diese Netzbetreiber keine Dienste anboten - es war während der Tests keine SIM-Karte mit diesen Anbietern verbunden.

Die Daten, die wir bei der Übertragung beobachten, umfassen dauerhafte Gerätekennungen (IMEI, MAC-Adresse usw.), Standortkennungen (GPS-Koordinaten, Mobilfunkzellen-ID usw.), Benutzerprofile (Telefonnummer, App-Nutzungsmuster, App-Telemetrie) und soziale Verbindungen (Anruf-/SMS-Verlauf/Zeit, Kontakttelefonnummern usw.)

, schreiben die Forscher in ihrem Papier.

Kombiniert stellen diese Informationen ein ernsthaftes Risiko für die Deanonymisierung von Nutzern und ein umfassendes Tracking dar, insbesondere da in China jede Telefonnummer unter einer Bürger-ID registriert ist.

Als Beispiel geben die Forscher an, dass das Redmi-Telefon POST-Requests an die URL 'tracking.miui.com/track/v4' sendet, sobald die vorinstallierten Apps Einstellungen, Notizen, Rekorder, Telefon, Nachrichten und Kamera geöffnet und verwendet werden. Die Daten werden auch dann gesendet, wenn der Nutzer die Option 'Nutzungs- und Diagnosedaten senden' beim Gerätestart deaktiviert hat.

POST https://tracking.miui.com/track/v4
{ "imsis": "[b2d5c6783e3fa6eef38ff1fc7dedfb10,]",..,
{"pkg": "com.xiaomi.smarthome","action": "
first_launch", "fit": 1666816796000, ...},
{"pkg": "com.android.settings","ts": 1666818456958,"
duration": 1424, ...},
{"pkg": "com.miui.securityinputmethod","ts":
1666818463544,"duration": 4706, ... },
{"pkg": "com.miui.notes","ts": 1666818784908,"stat":
"app_start",...}...}

Auch in Ländern ausserhalb des Reichs der Mitte, in denen strengere Datenschutzregelungen gelten, erfolgt die Datenerfassung.

Eine weitere Erkenntnis der Forscher ist, dass auf chinesischen Android-Distributionen drei- bis viermal mehr Apps von Drittanbietern vorinstalliert sind als auf Android-Basisgeräten aus anderen Ländern. Ein Grossteil dieser Applikationen ist mit weitreichenden Rechten ausgestattet.

Insgesamt zeichnen unsere Ergebnisse ein beunruhigendes Bild vom Zustand des Datenschutzes auf dem weltweit größten Android-Markt und unterstreichen die dringende Notwendigkeit strengerer Datenschutzkontrollen, um das Vertrauen der Bürger in Technologieunternehmen zu stärken, von denen viele teilweise in Staatsbesitz sind

, so die Forscher abschliessend.

Quellen:

https://www.scss.tcd.ie/Doug.Leith/pubs/wisecfp034-liu.pdf
https://www.theregister.com/2023/02/07/chinese_android_phones_leak_pii/