BSI prüft Sicherheitslücken in Smartphones aus China
Arne Schönböhm, Chef des BSI, interessiert sich für die Sicherheit von Handys "Made in China"
Foto: Picture Alliance / dpa
Nachdem die Cyberabwehr in Litauen vor chinesischen 5G-Smartphones gewarnt hat, nehmen auch private Sicherheitsexperten die verdächtigen Geräte unter die Lupe. Auch das Bundesamt für Sicherheit in der Informationstechnik geht dem Report nach.
BSI untersucht
Nach der Warnung der litauischen Cyberabwehr vor Sicherheitslücken und eingebauten Zensurfunktionen in chinesischen Mobiltelefonen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eigene Untersuchungen eingeleitet. Das bestätigte ein BSI-Sprecher der Deutschen Presse-Agentur. Das staatliche Zentrum für Cybersicherheit in Vilnius hatte vor allem ein Gerät des chinesischen Herstellers Xiaomi kritisch beurteilt, weil es technisch in der Lage sei, die bestimmte Inhalte auf dem eingebauten Webbrowser zu zensieren. Der Zensurfilter sei zwar nicht aktiv gewesen, habe aber aus der Ferne eingeschaltet werden können.
Bericht nennt drei Modelle
Arne Schönböhm, Chef des BSI, interessiert sich für die Sicherheit von Handys "Made in China"
Foto: Picture Alliance / dpa
Das BSI hatte den Report der litauischen Cyberabwehr am Mittwoch erhalten, in dem drei konkrete Smartphone-Modelle analysiert wurden. Dabei handelte es sich um das Huawei P40 5G, das Xiaomi Mi 10T 5G sowie um das OnePlus 8T 5G. Die schwersten Vorwürfe richtete das Cybersicherheits-Zentrum NKSC (Nacionalinio Kibernetinio Saugumo Centro) gegen Xiaomi.
Durch die Analyse der Smartphone-Aktivitäten von Huawei fanden die Forscher heraus, dass die offizielle App Gallery des Herstellers, wenn sie eine vom Anwender gewünschte App in der Huawei App Gallery nicht gefunden hat, diese Anfrage automatisch an E-Shops von unabhängigen Drittanbietern im Netz weiterleitet. Dort wurden einige der so gefundenen Exemplare der gesuchten App von einem extra auf das Handy aufgespielten und vorher geprüften Antivirenprogramme als "bösartig" oder "mit Viren infiziert" eingestuft.
Dies konnten wir mit einem Huawei-Testgerät in der Redaktion vor einiger Zeit nachvollziehen. Die App-Gallery sucht bei Misserfolg im offenen Netz nach der Wunsch App und diese App könnte schlimmstenfalls "verdorben" sein.
Bei dem OnePlus-Gerät fand das NKSC keine Mängel.
Ein Sprecher von Xiaomi erklärte, die Geräte seines Unternehmens zensierten keine Kommunikation mit oder von ihren Nutzern. "Xiaomi hat und wird niemals persönliche Aktivitäten seiner Smartphone-Nutzer einschränken oder unterbinden, wie beispielsweise das Suchen, Anrufen, Surfen im Internet oder die Verwendung von Drittanbieter-Kommunikationssoftware."
Deutsche Behörden kaufen keine chinesischen Dienst-Geräte
Der BSI-Sprecher informierte, auf der Liste der Smartphone-Marken, die von den Bundesbehörden offiziell bestellt werden können, stünden weder Xiaomi noch ein anderer Hersteller aus China. Das BSI könne aber nicht ausschließen, dass durch eine dienstliche Nutzung von privat angeschafften Geräten trotzdem ein Xiaomi-Smartphone im Einsatz sei.
Nicht alle Geräte verdächtig
Thorsten Urbanski, Sprecher des Sicherheitsunternehmens Eset, warnte davor, alle Smartphones aus China unter einen Generalverdacht zu stellen. Manipulierte Geräte seien aber "seit vielen Jahren ein großes Sicherheitsproblem". "Bereits vor mehr als fünf Jahren gab es erste Fälle von Geräten, die auf dem Weg nach Europa mit manipulierter Firmware und vorinstallierter Spyware-Apps in den Handel kamen." Mit den damaligen Manipulationen hätten umfassend Daten gestohlen werden können. Auch eine Überwachung des Besitzer seien möglich gewesen. In vielen Fällen seien die Manipulationen nicht vom Hersteller selbst ausgegangen.
Möglicherweise auch manipulierte Geräte im Umlauf?
Viele manipulierte Geräte gelangten über den Online-Handel nach Europa, sagte Urbanski. Teilweise seien gefälschte und mit Schad-Apps ausgestattete Geräte aber auch im stationären Handel zu finden gewesen. Sein Ratschlag: "Wenn Geräte beispielsweise schon beim Eintreffen als Neuware nicht originalverpackt sind, sollten Verbraucher generell vorsichtig sein und das Gerät gegebenenfalls auch wieder zurücksenden. Ebenso sind Angebote mit Rabatten von 50 oder 60 Prozent auf aktuelle Smartphones in der Regel zu schön um wahr zu sein." Oftmals zahlten Verbraucher hier den günstigen Preis mit ihren Daten oder erhielten gefälschte Geräte.
Wie funktioniert die Zensur?
Bei der Prüfung des Xiaomi-Geräts hätten die Experten eine technische Funktion aufgedeckt, die den Inhalt herunter geladener Inhalte zensieren könnte. Mehrere Apps auf dem Smartphone einschließlich dem ab Werk vorinstallierten Mi-Browser laden offenbar regelmäßig eine Liste mit verbotenen Schlüsselwörtern herunter, die Xiaomi vorgibt. Wenn der Nutzer später eine Webseite öffnen will, welche Begriffe aus dieser Liste enthält, werde diese automatisch blockiert.
Zum Zeitpunkt der Untersuchung soll diese Liste 449 Schlüsselwörter und Kombinationen in chinesischen Schriftzeichen umfasst haben, heißt es in dem Bericht. Dazu gehörten "Freiheit für Tibet", "Amerikas Stimme", "Demokratiebewegung" und "Lang lebe das demokratische Taiwan".
Filterfunktion in Litauen deaktiviert
"Wir haben festgestellt, dass die Inhaltefilterfunktion in den nach Litauen gelieferten Xiaomi-Mobiltelefonen deaktiviert ist und keine Zensurtätigkeit ausübt", erläuterte Tautvydas Bakšys, Leiter der Innovationsabteilung des Cybersicherheitszentrums seine Ermittlungen. Die Listen würden weiterhin regelmäßig aktualisiert. Damit sei das Gerät "technisch in der Lage, die Funktion jederzeit aus der Ferne und ohne Erlaubnis des Nutzers zu aktivieren und mit der Zensur der heruntergeladenen Inhalte zu beginnen." Bakšys schließe nicht aus, dass die Liste der verbotenen Schlüsselwörter auch mit lateinischen Buchstaben erstellt werden könne.
Aktivierung per Schlüssel-SMS
Um diesen Dienst auf dem Mi 10T zu aktivieren, muss eine verschlüsselte SMS zur Registrierung empfangen werden, die danach nicht auf dem Gerät gespeichert wird. Die Ermittler seien daher nicht in der Lage, "die verschlüsselte Nachricht zu lesen und ihren Inhalt zu verifizieren", kritisiert Bakšys die Lage. Gleichwohl: Die automatisierte Nachrichtenübermittlung und die vom Hersteller verborgenen Inhalte stellten eine potenzielle Sicherheitsbedrohung dar, "da sie die Erfassung und den Transfer nicht identifizierbarer personenbezogener Daten an Server in Drittländern ermöglichen".
Experten: Vorwürfe Ernst nehmen
Rüdiger Trost, Sicherheitsexperte von F-Secure Deutschland, sagte der dpa, man müsse die Vorwürfe ernst nehmen. "Ich halte es für mehr als wahrscheinlich, dass es Möglichkeiten für chinesische Stellen gibt, direkt auf Smartphones aus nationaler Produktion zuzugreifen. Und ich habe keine Zweifel, dass China gewillt ist, mit technischen Mitteln Zensur auszuüben." Wenn die Konzerne, der chinesische Staat oder Hacker einen so tiefgreifenden Zugriff hätten, könnten sie nicht nur Kommunikation auslesen, noch bevor sie verschlüsselt werde, etwa bei E-Mails, WhatsApp oder sogar Signal. Man könnte sogar Daten hochladen und auf solche Weise etwa einen Dissidenten diskreditieren. Ja, man könnte sein Smartphone so manipulieren, dass er wie der Spion eines anderen Staates erscheint."
Trost verwies darauf, dass die chinesischen Smartphones in der Regel mit dem Android-Betriebssystem laufen, das von Google entwickelt wurde. "Wir haben festgestellt, dass die von Smartphone-Herstellern angepassten Android-Versionen für die jeweiligen Geräte unterschiedlich sicher sind. Die Android-Anpassungen durch Hersteller wie Xiaomi können also dazu führen, dass die Sicherheit dieser Geräte erheblich beeinträchtigt wird." Das würden die Konzerne kaum aus Eigeninteresse tun. "In China geschieht sicher wenig komplett am Staat vorbei."
Man könne allerdings davon ausgehen, dass die breite Masse der Anwenderinnen und Anwender nicht im Fokus stünde, betonte Trost. "Wenn ich aber Politiker, Journalist oder Dissident wäre, sähe das anders aus."
Eine Einschätzung: Was können Kunden tun?
Wer sich ein Gerät von Xiaomi oder Huawei gekauft hat, muss nicht gleich in Panik verfallen, sollte aber ein paar einfache Tipps beherzigen: Zu Beginn alle Apps, die auf dem Handy zu finden sind, überprüfen, ob sie wirklich gebraucht werden. Sofern diese Apps die Zustimmung von AGBs erfordern, genau hinschauen, wer da und warum welche Daten wissen möchte. Apps, die nicht gebraucht werden, vom Handy deinstallieren oder - wenn das nicht anders geht - wenigstens deaktivieren.
Eigenes Handy testen
Fast alle Hersteller von Sicherheitssoftware bieten kostenlose Test-Programme an. Es kann nicht schaden, das eigene Handy kurz zu checken. Wer sein Handy in einem Unternehmen betreiben möchte, sollte Kontakt zu seiner Unternehmens-IT aufnehmen und "delikate" Informationen besser nicht auf dem Handy oder der Cloud des Handy-Herstellers speichern.
Die EU möchte künftig nur noch ein Typ Ladekabel haben.