Chinesen googlen nicht. Die beliebteste Suchmaschine in China kommt aus China und heißt Baidu. Ein Großteil der Chinesen nutzt den Dienst, um Websites, Bilder oder Videos im Netz zu finden, und für weit mehr. Im Portfolio der Firma finden sich ein Karten-Dienst, ein Media-Player, eine Enzyklopädie und ein persönlicher Assistent, vergleichbar mit Siri. Außerdem bietet Baidu einen Browser an, vergleichbar mit Chrome oder Firefox für Windows und Android. 

Beide Programme, Baidu Browser und Baidu Mobile Browser, stehen nun in der Kritik. Die Browser sammeln jede Menge persönliche Daten über die Nutzer und schicken sie oft unverschlüsselt an die Server der Firma. Das hat das Citizen Lab an der Universität Toronto in einem Bericht am Dienstag bekanntgegeben.

Standort, Internetseiten und Suchanfragen übertragen

Dem Bericht zufolge sendet der Baidu-Browser für Android den aktuellen GPS-Standort, besuchte Internetseiten und eingegebenen Suchanfragen an Baidu. Auch die IMEI, die eindeutige Identifikationsnummer des Geräts, und in der Nähe befindliche Netzwerke inklusive Signalstärke und individueller MAC-Adresse erfasst der Browser. Zwar werden die letzten beiden Datensätze verschlüsselt übertragen, aber die Forscher konnten nachweisen, dass die Verschlüsselung von Baidu unzureichend umgesetzt und entsprechend leicht zu umgehen ist.

Die Windows-Version des Baidu-Browsers sendet derweil nur die eingegebenen Suchbegriffe unverschlüsselt an die Server. Allerdings seien weitere Daten aufgrund der schlecht implementierten Verschlüsselung ebenfalls leicht abfangbar, schreiben die Autoren. Darunter befinden sich etwa die Seriennummer der Festplatte, die MAC-Adresse oder die besuchten Websites.

Damit lassen sich Nutzer eindeutig identifizieren und ihre Online- und Offline-Aktivitäten verfolgen. Die Sicherheitslücken können daher sowohl für kriminelle Aktivitäten, als auch für staatliche Überwachung verwendet werden. Die Forscher verweisen auf Dokumente des NSA-Whistleblowers Edward Snowden, die zeigen, dass die unter Five Eyes zusammengefassten Geheimdienste eine ähnliche Schwachstelle im UC-Browser ausgenutzt haben. Dieser Browser ist in China und Indien verbreitet und hat etwa 500 Millionen Nutzer.

Nicht nur Apps von Baidu betroffen

Einige Schwachstellen sind den Forschern zufolge auf ein Software Development Kit (SDK) für Statistiken auf Android von Baidu zurückzuführen. Ein SDK bündelt Software, damit Entwickler leichter Anwendungen für ein bestimmtes Betriebssystem programmieren können. 

Nicht nur Baidu entwickelt Apps über das SDK, sondern auch andere Firmen. Daher kann die Schwachstelle in weiteren Programmen auftauchen, etwa im Dateimanager ES Datei Explorer, der im Play Store von Google auf mindestens 100 Millionen Downloads kommt. Die Programme senden die Gerätenummer IMEI, den aktuellen Standort und Informationen zu Netzwerken in der Nähe an die Baidu-Server. Die Daten werden entweder unverschlüsselt übertragen oder sind leicht zu entschlüsseln.

Seit November stehen die Forscher mit den Entwicklern der chinesischen Firma in Kontakt und diskutieren die Sicherheitsprobleme. Warum Baidu die Daten überhaupt sammelt, wollte das chinesische Unternehmen nicht sagen. Im Gespräch mit der Nachrichtenagentur Reuters sagte Baidu, man wolle die Probleme beheben, aber die Daten weiter kommerziell nutzen. Zusätzlich heißt es, die Firma wolle "Daten nur herausgeben, wenn ordnungsgemäß eingesetzte Strafverfolgungsbehörden sie rechtmäßig anfordern".

Baidu und ähnliche chinesische Dienste sind seit Mai 2014 geradezu konkurrenzlos. Denn seitdem sind Googles Suchmaschine und andere Produkte des amerikanischen Unternehmens nicht mehr für das chinesische Festland verfügbar. Die chinesische Regierung hatte die Dienste zum 25. Jahrestag des Massakers auf dem Tian’anmen-Platz gesperrt und seitdem nicht wieder freigegeben. Auch andere westliche Internetdienste wie Facebook, Twitter oder die Webseite der New York Times sind in China nicht verfügbar.