Xiaomi-Smartphones: Sicherheitsrisiken durch vorinstallierte Browser

Die Stiftung Warentest hat Sicherheitsbedenken bei bestimmten Xiaomi-Smartphones festgestellt. Vorinstallierte Browser auf diesen Geräten senden Push-Benachrichtigungen, die Nutzer zu gefälschten Webseiten führen können. Diese Seiten imitieren bekannte Medien und bieten dubiose Investitionsmöglichkeiten an, was als potenzieller Anlagebetrug eingestuft wird.

Push-Mitteilungen führen zu Fake-Nachrichtenseite

Die Push-Mitteilungen kamen nach Angaben von Stiftung Warentest vom vorinstallierten Browser MiBrowser. Die Hinweise tauchten wie übliche Systemmeldungen am oberen Bildschirmrand auf. Solche Benachrichtigungen informieren normalerweise über neue E-Mails oder App-Aktivitäten.

In diesem Fall lautete die Meldung „Das ist wichtig zu wissen – Die Zuschauer waren sehr überrascht“. Neben dem Text war das Wappen der Bundesrepublik Deutschland zu sehen. Ein Tipp auf die Benachrichtigung leitete auf eine Webseite weiter, die im Design der Webseite der Tagesschau ähnelte.

Auf der Seite erschien zunächst ein angebliches Interview zwischen der ZDF-Moderatorin Maybrit Illner und Bundeskanzler Friedrich Merz. Anschließend folgte ein Angebot für ein angeblich besonders profitables Investitionssystem.

Der Aufbau der Seite erinnert an typische Betrugsmodelle im Internet. Dabei nutzen Betreiber häufig bekannte Medienmarken oder prominente Namen, um Vertrauen zu erzeugen. Solche Phishing-Seiten versuchen häufig, die Nutzer zur Eingabe von wichtigen Daten wie Passwörtern oder Kreditkarteninformationen zu verleiten. Im konkreten Fall scheint es sich um Anlagebetrug zu handeln, bei dem Nutzer dazu gebracht werden sollen, Geld zu investieren.

Xiaomi untersucht den Vorfall

Der Angriffsvektor, derartige Phishing-Links als Push-Mitteilungen über vorinstallierte System-Apps zu verbreiten, ist bislang eher ungewöhnlich. In vielen Fällen gelangen Nutzer bisher eher über gefälschte Links in E-Mails oder SMS zu ähnlichen Angeboten.

Xiaomi erklärte auf Anfrage gegenüber der Stiftung Warentest, man nehme den Fall ernst und habe eine interne Untersuchung gestartet. Laut einem Unternehmenssprecher arbeitet der Hersteller mit verschiedenen globalen Inhaltsanbietern zusammen, die je nach Region unterschiedliche Push-Benachrichtigungen an Nutzer senden können. Normalerweise sollen Kontrollmechanismen die Inhalte prüfen. Im aktuellen Fall scheinen diese Prüfungen jedoch nicht gegriffen zu haben.

Die Stiftung Warentest kritisiert unterdessen, dass auf einigen Xiaomi-Smartphones vermehrt Werbung in vorinstallierten Apps gezeigt wird. Dazu kommen nun auch Push-Mitteilungen des MiBrowser, die zuletzt häufiger genutzt wurden, um etwa für den Online-Marktplatz Temu zu werben. Diese Praxis könnte nun auch den Weg für die Phishing-Nachrichten geebnet haben, die im konkreten Fall auf einem Redmi 15 aufgetaucht waren.

So lassen sich die Push-Mitteilungen abschalten

Um die Sicherheit zu erhöhen, wird Nutzern empfohlen, Push-Benachrichtigungen des MiBrowsers zu deaktivieren. Dies kann in den Einstellungen unter „Benachrichtigungen und Statusleiste“ durchgeführt werden. Sind die Mitteilungen ausgeschaltet, kann der Browser keine Push-Nachrichten mehr senden. Allerdings entfallen dann auch eventuell gewünschte Hinweise.

Alternativ kann ein anderer Browser wie Firefox oder Chrome installiert und als Standardbrowser festgelegt werden, um die potenziell riskanten Benachrichtigungen zu umgehen. Das Entfernen von vorinstallierter Bloatware kann außerdem dazu beitragen, unerwünschte Werbung und Benachrichtigungen zu reduzieren.