Onderzoek: Xiaomi-telefoons versturen op grote schaal privégegevens naar Chinese servers [update]

Onderzoek: Xiaomi-telefoons versturen op grote schaal privégegevens naar Chinese servers [update]

Volgens Follow the Money (FTM) delen Xiaomi-smartphones massaal privégegevens van gebruikers met de Chinese servers van het bedrijf. De Chinese overheid heeft mogelijk toegang tot deze gegevens.

Update 12/11/2021: Hieronder lees je integraal de reactie van een woordvoerder van Xiaomi bij Androidworld omtrent de uitkomsten van het FTM-onderzoek. We hebben dit artikel bijgewerkt en opnieuw gepubliceerd.

"Xiaomi is een open, transparante, beursgenoteerde, onafhankelijk opererende en onafhankelijk geleide organisatie. Wij zetten ons in om de privacy en de veiligheid van onze gebruikers te waarborgen. Xiaomi voldoet volledig aan de vereisten van de AVG, inclusief de opslag, het verwerken en de overdracht van persoonlijke gegevens. Het naleven van deze vereisten is van toepassing op alle Xiaomi apparaten, -systemen, -apps en -services. Elke gebruik van deze persoonsgegevens is afhankelijk van geldige toestemming van de eindgebruiker en is altijd in overeenstemming met de lokale of regionale wet- en regelgeving van de Europese Unie en haar lidstaten."

Xiaomi-telefoons versturen data naar servers in China

Drie smartphonemerken hadden dit jaar een topjaar en Xiaomi is daar een van. Deze fabrikant verkopen meer telefoons dan het jaar ervoor en ook in Europa vertoont de fabrikant een stijgende lijn. Dat komt voornamelijk omdat het bedrijf telefoons met sterke specificaties aanbiedt voor een schappelijke prijs. Toch zit er volgens Follow the Money een addertje onder het gras.

De journalisten van de Nederlandse onafhankelijke nieuwswebsite hebben onderzoek gedaan naar Xiaomi-telefoons en de manier waarop deze telefoons omgaan met privégegevens van gebruikers. Ze zijn hun onderzoek hiernaar gestart vanwege een waarschuwing van de Litouwse overheid aan haar burgers omtrent deze telefoons. De journalisten vroegen zich ook af waarom de Nederlandse overheid hier geen standpunt in had genomen.

Dit is er volgens FTM aan de hand

FTM geeft aan dat smartphones van het Chinese merk Xiaomi massaal data van gebruikers delen met de servers van het bedrijf; ook de data van Europese gebruikers. De Chinese overheid kan toegang hebben tot deze gegevens. FTM voegt daar aan toe: "Litouwse onderzoekers vonden ook censuursoftware in een Xiaomi-model. Die is uitgeschakeld voor Europa, maar kan op afstand worden ingeschakeld. Nederlandse cybersecurity-experts pleiten voor grondig onderzoek naar deze telefoons, maar vrezen dat Nederland daarvan afziet – vanwege onze economische afhankelijkheid van China."

De onderzoekers hebben vervolgens uitgebreid gesproken met cybersecurity-experts in binnen- en buitenland, en met een Europarlementariër die kennis van dit soort zaken heeft. Daarnaast hebben ze artikelen en rapporten over de kwestie doorgenomen.

Hieronder vind je een aantal voorbeelden die cybersecurity-expert Gabriel Cirlig bij FTM heeft neergelegd:

  • Xiaomi-telefoons sturen al het surfgedrag op de ingebouwde webbrowser in realtime door. Zodra je een pagina opent of een Google-zoekopdracht uitvoert, gaat er een berichtje naar de servers van Xiaomi – zelfs nadat je die zogenaamde incognito-, of privé-modus hebt aangezet.
  • De ingebouwde nieuws-app stuurt door welke artikelen je leest en van welke media ze afkomstig zijn. De ingebouwde mediaspeler stuurt de namen door van de nummers en video’s die je ermee afspeelt, online en offline.
  • Xiaomi-toestellen sturen door welke apps er op je telefoon staan, wanneer je die gebruikt, hoe lang ze op je scherm staan en wanneer je sms’jes verstuurt.
  • Censuursoftware op de telefoons censureert informatie aan de hand van trefwoorden. Deze software is voor de Europese markt uitgeschakeld, maar kan op afstand worden geactiveerd, zonder dat de gebruiker het doorheeft. Xiaomi Nederland heeft eerder aan Androidworld bevestigd dat het geen communicatie van of naar zijn gebruikers censureert.

Volgens Cirlig sturen telefoons van Xiaomi, Huawei en Samsung de meeste gegevens door, maar Xiaomi gaat een stap verder: "Xiaomi onderscheidt zich doordat het de ‘meest uitgebreide data’ over gebruikersinteractie met het toestel verzamelt." Hij geeft ook aan dat de telefoons data blijven doorsturen naar de servers van Xiaomi als je via een ‘opt-out’ dit hebt uitgeschakeld.

Onderzoek: Xiaomi-telefoons versturen op grote schaal privégegevens naar Chinese servers [update]

Amerikaanse techbedrijven doen toch precies hetzelfde?

In de Verenigde Staten kan de overheid bedrijven dwingen om data te delen, maar dat gaat niet zo maar, legt Bart Groothuis uit. Groothuis is Europarlementariër voor de VVD en eerder hoofd van het Bureau Cyber Security van het ministerie van Defensie. "In de Verenigde Staten betreft het in een democratische rechtsstaat ingebedde wetgeving, waarbij elk verzoek van een dienst via de rechter gaat. Bovendien hebben de VS geen offensief spionageprogramma lopen tegen Nederland. Landen als China, Rusland en Iran hebben dat wel."

In China is dat een heel ander verhaal. Bedrijven zijn daar wettelijk verplicht om gebruikersdata desgevraagd te delen met de overheid. Follow the Money benadrukt tevens dat China ook een zwakkere scheiding tussen private en overheidspartijen kent: "Binnen bedrijven is bijvoorbeeld vaak een partijcomité aanwezig, om te zorgen dat bedrijven de lijn van de Chinese Communistische Partij uitvoeren."

De Belgische Staatsveiligheidsdienst geeft aan dat elk Chinees bedrijf, en dus ook Xiaomi, gegevens moet delen met de overheid indien die daarom vraagt. De dienst is in het Belgische blad De Tijd nog stelliger: "Bedrijven van het formaat van Huawei, Xiaomi, Oppo en OnePlus hebben een partijcomité van de Chinese Communistische Partij (CCP) binnen het bedrijf. De taak van zulke partijcellen is te zorgen dat de beleidslijnen van de CCP ook door het bedrijf worden gevolgd."

Xiaomi verzamelt meer dan anderen  

FTM concludeert dat Xiaomi meer en gevoeliger data verzamelt dan andere aanbieders en dat heeft misschien niet direct gevolgen op de gebruiker als individu, het kan wel op grotere schaal van invloed zijn. Cybersecurity-expert Gabriel Cirlig over het gevaar van datadeling met Chinese servers: "Mensen kijken vaak alleen naar hun eigen privacy. Het maakt ze vaak zogenaamd niet uit dat hun data gedeeld worden. Maar het gevaar zit hem niet eens in de persoonsgegevens van een individu, maar van alle mensen uit je buurt, je straat of je stad. Die gebundelde data kunnen worden gebruikt om de publieke opinie en zelfs verkiezingen in een land of regio te beïnvloeden." Als voorbeeld noemt hij de Russische inmenging in de Amerikaanse presidentsverkiezingen in 2016.

Xiaomi gaat, naar aanleiding van de bevindingen van de Litouwse onderzoekers omtrent de censuursoftware, onderzoek doen. Duitsland heeft om dezelfde redenen ook een onderzoek ingesteld naar Xiaomi. FTM heeft ook een reactie van de AIVD gekregen. Die reactie vind je onder het artikel van FTM.

Lees meer over:
Xiaomi Fraude

Plaats reactie

666

0 reacties

Laad meer reacties

Je bekijkt nu de reacties waarvoor je een notificatie hebt ontvangen, wil je alle reacties bij dit artikel zien, klik dan op onderstaande knop.

Bekijk alle reacties