nrk.no

Flere Nokia-modeller har kommunisert med server eid av kinesisk selskap

Kategorier: Forbruker & Sikkerhet

Illustrasjonsfoto: En mann i silhuett foran en Nokia-logo. Foto: Dado Ruvic / Reuters

Undersøkelser utført av NRK viser at flere Nokia-modeller i det stille har kommunisert med en server eid av et kinesisk IT-selskap.

Oppdatering 22. mars kl. 22:45: Etter NRKs saker om datalekkasjer hos HMD Global, har selskapet publisert en pressemelding som oppklarer noen av spørsmålene vi stilte i denne saken. Les mer »

NRKbeta avslørte torsdag 21. mars at mobiler av typen Nokia 7 Plus har sendt informasjon om brukerne til en kinesisk server. Informasjonen inneholdt blant annet telefonens geografiske posisjon, samt SIM-kortnummer og registreringsnummer. Eier av Nokia-varemerket, HMD Global, vil ikke svare NRKbeta på spørsmål om hvem eier serveren.

HMD Global oppga at kun et begrenset antall telefoner av denne modellen var rammet. Avsløringen gjorde at det finske datatilsynet valgte å starte en etterforskning, og NRKbeta fikk en rekke tips.

En av tipserne, serbiske Milan Kragujević hevder at datalekkasjen har foregått i minst ni måneder, fra en annen modell. Det vil isåfall bety at minst to av Nokias modeller, Nokia 7 Plus og Nokia 2, har sendt personopplysninger til den samme serveren i Kina.

– Jeg oppdaget lignende aktivitet allerede for ni måneder siden. Telefonen var ikke en Nokia 7 Plus, men en billig Nokia 2. Jeg antar at programvaren lastes inn på tilsvarende måte på tvers av modeller, skriver Kragujević i en e-post til NRKbeta.

Han skriver videre at han forsøkte å kontakte HMD Global på Twitter, uten å få respons.

– Jeg burde antagligvis tatt kontakt på e-post, men jeg hadde ingen konkrete beviser om hva som foregikk, og så ingen interesse på Twitter, så jeg droppet hele saken.

I et innlegg på nettsamfunnet Hacker News i juni i fjor skriver Kragujević om hendelsen. Han legger også ved en tekstfil som inneholder alle applikasjoner hans Nokia 2 kom installert med.

En av disse heter autoregistration. Applikasjonen i vår første sak om denne datalekkasjen, bar også navnet autoregistration.

Et utdrag av registreringskoden til Qualcomm-applikasjonen autoregistration fra 2014, som NRKbeta fant på utviklerplattformen Github.

NRKbeta er heldige som har tilgang på en rekke dyktige utvikler-kollegaer i NRK, og torsdag 21. mars gjorde vi undersøkelser av to Nokia-modeller, en Nokia 3 og en Nokia 5. Begge disse modellene hadde en applikasjon med navnet autoregistration installert.

Kontakter kinaregistrert server

Denne applikasjonen har store likheter med den som var installert på Nokia 7 Plus, men ser etter NRKs analyse ikke ut til å være identisk.

NRKbeta har ikke tilgang til applikasjonens kildekode, men vi har dekompilert dens kjørbare kode. Til tross for det ikke gir et fullstendig bilde av hvordan applikasjonen er skrevet, gir det oss muligheten til å analysere hva den gjør.

Foreløpige analyser viser at applikasjonen aktiveres hver gang telefonen slås på, og «abonnerer» på flere hendelser fra telefonen. En av hendelsene er hvorvidt telefonen er tilkoblet nettverk, og hvorvidt alle systemtjenester er klare.

Autoregistration starter en rekke tjenester som ser ut til å omhandle telefonens status og posisjon.

Applikasjonen henter videre inn en rekke data om telefonen, som blant annet hvilken basestasjon telefonen er tilkoblet, telefonens SIM-kortnummer, serienummer, og resten av informasjonen nevnt i den første saken.

Applikasjonen har også referanser til en «innholdstype» som er svært lite brukt, nemlig application/json-encoded. Den samme innholdstypen ble brukt under sendingen av personopplysningene fra Nokia 7 Plus.

Applikasjonen sender en kryptert melding til domenet aps.c2dms.com. NRKbeta har ikke klart å dekryptere informasjonen som sendes, og kjenner derfor ikke innholdet i pakken.

Meldingen går til aps.c2dms.com, et domene eid av Shanghai Best Oray Information S&T.

I eierskapsregisteret står foretaket Shanghai Best Oray Information S&T Co., Ltd. (Oray) oppført som innehaver av domenet. Dette foretaket er listet som en spreder av løsepengevirus hos Ransomware Tracker, en nettside som sporer hvilke domener og IP-adresser som bidrar med spredningen av skadevare.

Kilder sier til NRKbeta at Oray leverer programvare for å fjernstyre datamaskiner og mobiltelefoner i bedriftssammenheng, samt andre IT-relaterte tjenester. På sin side for utviklere lister Oray opp store merkevarer innenfor IT-industrien, som blant annet Qualcomm, Cisco og Huawei.

Oppdatering 22. mars kl. 22:45:
HMD Global har i en pressemelding gjort det klart at selskapet Oray er en av deres tjenesteleverandører, og at dataene sendt til dette domenet går til HMDs servere i Singapore.

En leser har også sjekket dette grundig, og skriver at Oray også er domeneleverandør. Det er dermed sannsynlig at HMD Global rett og slett har registrert domenet gjennom Oray, og at dataene går rett til Singapore.

Oray lister opp en rekke kjente selskaper som samarbeidspartnere. Faksimile: Oray

NRKbeta har spurt Shanghai Best Oray Information S&T Co., Ltd. om hvorfor deres server mottar data fra Nokia-telefoner, og vil oppdatere saken hvis de svarer.

HMD Global: Må undersøke før vi kan kommentere ytterligere

NRKbeta har konfrontert HMD Global med at flere telefonmodeller er i kontakt med uanmeldte servere. Vi har stilt en rekke spørsmål, blant annet hvorfor disse telefonene sender pakker til et domene eid av Shanghai Best Oray Information S&T Co., Ltd., og hvorvidt ytterlige telefonmodeller gjør det samme.

HMD Global viser til sin tidligere uttalelse, og skriver til at de gjerne diskuterer saken med relevante finske myndigheter, og også med det norske Datatilsynet hvis de er interessert i det. HMD Global skriver at de tar informasjonen de er forelagt på alvor, og at de må gjennomføre en grundig undersøkelse før de kan kommentere ytterligere.

HMD Globals tidligere uttalelse:

Uttalelse fra HMD Global

Vi har analysert saken, og kan bekrefte at det har skjedd en feil i pakkeprosessen av programvare i en enkel batch av en telefonmodell, som ved en feil forsøkte å sende aktiveringsdata til en utenlandsk server. Dataene ble aldri behandlet, og ingen personopplysninger ble delt med tredjeparter eller myndigheter.

Dette har nå blitt fikset, og nesten alle enheter som var påvirket av denne feilen har nå installert oppdateringen. HMD Global tar sikkerheten og personvernet til våre kunder alvorlig.

Videre vil vi påpeke at hvorvidt informasjon er personopplysninger, handler om kontekst og hvilke andre typer data som mottaker har tilgjengelig. Dette har blitt avgjort i saken Breyer vs. Tyskland, og har blitt bekreftet av tilsynsmyndigheter flere ganger.

Vi diskuterer gjerne saken med relevante finske myndigheter, og også det norske datatilsynet om de er interessert.

3 kommentarer

  1. Spennende! Tidligere har det vært problemer med Nokia-serien til HMD Global med en applikasjon de har inne fra leverandøren Evenwell (com.evenwell), som heter com.evenwell.powersaving.g3. Denne applikasjonen uvilkårlig dreper alle applikasjoner som våger å kjøre en service, som f.eks. treningsapplikasjoner eller sovemonitorer. En kan lese mer om dette på dontkillmyapp.com/nokia.

    Jeg løste i min tid det overnevnte problemet ved å rett og slett fjerne applikasjonen fra Evenwell som skapte problemet. Med denne autoregistration, som fortsatt var installert på min Nokia 7 Plus, har jeg nå utført samme operasjon for å fjerne problemet.

    1) Sett devicen i USB-debugging-modus
    2) Ved hjelp av ADB, kjør adb shell
    3) i adb shell, kjør pm uninstall –user 0 com.evenwell.autoregistration

    Trafikken fra min telefon til den kinesiske serveren er nå borte.

    Svar på denne kommentaren

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Hvem eier merkevaren Nokia?

Hva er navnet på applikasjonen som sender kryptert data?

Hvilken av disse telefonene har vi ikke undersøkt i denne saken?

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.