Xiaomi-Smartphones spielen gefährliche Betrugs-Benachrichtigungen aus

Die Stiftung Warentest entdeckte eine massive Sicherheitslücke in Xiaomi-Geräten. Der vorinstallierte Mi-Browser spielt manipulierte Push-Meldungen aus, die auf Phishing-Seiten und Anlagebetrug führen. Das Testgerät Redmi 15 erhielt deshalb in der Kategorie Menüführung die Note „mangelhaft“.

Zufallsfund mit Folgen

Die Experten stießen während einer Routineprüfung auf das Problem. Auf dem getesteten Xiaomi Redmi 15 erschienen Benachrichtigungen, die wie seriöse Eilmeldungen aussahen – ausgeliefert vom systemeigenen Browser. Die Links führten die Tester jedoch direkt in ein professionelles Betrugsnetzwerk. Wegen dieses gravierenden Risikos werteten sie das Smartphone ab. Es ist alarmierend, dass eine vorinstallierte System-App als Einfallstor für solche Angriffe dient.

Banking, Online-Shopping oder WhatsApp – unser Smartphone verarbeitet täglich hochsensible Daten, die vor solchen Sicherheitslücken geschützt werden müssen. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Android-Gerät effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So funktioniert die perfide Masche

Die Betrüger nutzen das Vertrauen in Systembenachrichtigungen schamlos aus. Die Push-Meldungen imitieren täuschend echt Medien wie die Tagesschau und verwenden teilweise sogar das Bundesadler-Wappen. Die Texte locken mit reißerischen Schlagzeilen über angebliche Geheimnisse von Bundeskanzler Friedrich Merz oder anderen Prominenten.

Ein Klick öffnet eine gefälschte Nachrichtenseite. Dort wird für ein „todsicheres“ Investitionsmodell geworben. Das Ziel: sensible Daten wie Kreditkartennummern abgreifen oder Schadsoftware installieren. Der Trick: Eine Benachrichtigung, die vom eigenen Telefon zu kommen scheint, erzielt viel höhere Klickraten als jede Spam-Mail.

Xiaomi startet Untersuchung

Der Hersteller reagierte auf die Enthüllungen und leitete eine interne Prüfung ein. Ein Sprecher betonte, man nehme den Vorfall sehr ernst. Erste Hinweise deuten darauf, dass die betrügerischen Inhalte über externe Werbenetzwerke ins System gelangten.

Xiaomi finanziert seine günstigen Geräte teilweise über Werbung in eigenen Apps. Eigentlich sollen Filter unseriöse Anzeigen blockieren – doch diesmal versagten sie komplett. Nun bleibt abzuwarten, wie der Konzern sein Werbe-Ökosystem absichern will.

Da herkömmliche Filter in System-Apps oft versagen, ist Eigeninitiative beim Datenschutz wichtiger denn je. Sichern Sie Ihr Smartphone mit diesem gratis Sicherheitspaket und schließen Sie kritische Lücken, bevor Hacker sie ausnutzen können. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

So schützen Sie sich jetzt

Da sich der Mi-Browser nicht einfach deinstallieren lässt, müssen Nutzer selbst aktiv werden. Sicherheitsexperten raten zu zwei entscheidenden Schritten:

1. Deaktivieren Sie die Push-Benachrichtigungen für den Mi-Browser in den Android-Einstellungen.
2. Installieren Sie einen alternativen Browser wie Chrome oder Firefox und setzen Sie ihn als Standard.

So erscheinen die gefälschten Meldungen erst gar nicht. Fortgeschrittene können Bloatware über Entwicklerwerkzeuge entfernen – für die meisten Nutzer ist das jedoch zu riskant. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät generell zu Skepsis bei reißerischen Links, selbst wenn sie vermeintlich vom System stammen.

Ein Warnsignal für die ganze Branche

Der Fall zeigt einen gefährlichen Trend: Cyberkriminelle umgehen gefilterte Spam-Mails und nutzen direkt vertrauenswürdige Kanäle wie Push-Benachrichtigungen. Die Grenzen zwischen Betrugsformen verschwimmen.

Gleichzeitig wirft der Vorfall ein kritisches Licht auf werbefinanzierte System-Apps. Wenn die Kontrolle über Werbenetzwerke versagt, wird die Benutzeroberfläche selbst zur Gefahr. Auch andere Hersteller mit ähnlichen Geschäftsmodellen dürften nun genauer hinschauen müssen. Das Vertrauen der Nutzer steht auf dem Spiel.