Eiere av Nokia 7 Plus kan i flere måneder ha fått sendt sensitive opplysninger til en server i Kina. Datatilsynet i Finland har nå startet etterforskning etter NRKs avsløring.
I kjølvannet av NRKbetas artikkel har det finske datatilsynet valgt å starte etterforskning av påstandene, ifølge den finske avisen Helsingin Sanomat
– Basert på vår foreløpige analyse kan man anta at personlig data har blitt overført, sier ombudsmann Reijo Aarnio til avisen.
I februar fikk vi et tips av Henrik Austad, en leser som hadde overvåket trafikken på sin Nokia 7 Plus. Han la merke til at telefonen ofte tok kontakt med en server, og sendte avgårde en datapakke.
Pakken ble sendt ukryptert, og da han inspiserte innholdet i pakken ble han bekymret:
Hver gang telefonen ble slått på, skjermen aktivert eller låst opp, gikk hans geografiske posisjon, samt SIM-kortnummer og telefonens serienummer til en server i Kina.
Hvorfor sender HMD Global, den finske eieren av Nokia, personlige brukerdata om sine kunder til en server i Kina?
Big in China
Nokia 7 Plus ble lansert i første kvartal 2018, og ble raskt en populær telefon – spesielt i Kina: Det første opplaget på 250 000 telefoner ble utsolgt på fem minutter.
Innaskjærs har telefonen også fått gode anmeldelser, illustrert med et «Fantastisk»-stempel av Tek.no, som sier at «det er fint lite å klage over i Nokia 7 Plus-land!».
På de fleste punkter stemmer nok det. Det er en kapabel telefon med en relativt beskjeden prislapp. Men tilbake til denne datapakken:
Pakken inneholder mye informasjon for nysgjerrige sjeler. Informasjonen består av identifiserbare data om både telefonen og telefonnummeret den er tilknyttet, samt hvilken basestasjon den er tilknyttet. Dette gjør det mulig for mottakeren av pakken, og alle med innsyn i trafikkstrømmen underveis, å følge telefonens bevegelser i sanntid.
Dataene vi fikk fra tipseren inneholdt også nettadressen som pakken sendes til. Da vi sjekket eierskapsregisteret for det aktuelle domenet, møtte vi en mur:
I registeret står «China Internet Network Information Center» (CNNIC) oppført som kontaktpunkt. Dette organet har ansvar alle domener under toppnivådomenet .cn. Da vi kontaktet CNNIC fikk vi beskjed om at det statlige teleselskapet China Telecom var eieren av domenet.
Via kinesiske kilder forsøkte vi å få svar på hvem som har disponert serveren, men kundebehandleren hos China Telecom klarte ikke finne de relevante opplysningene. Et raskt Google-søk brakte oss derimot videre:
I en åpen profil på Github, en delings- og samarbeidsplattform for utviklere, ligger det kode fra elektronikkprodusenten Qualcomm. Denne koden inneholder en registreringsprosedyre som er veldig lik metoden som ble benyttet av Nokia 7 Plus. Koden samler inn en rekke data om telefonen, og sender informasjonen på identisk format til den samme serveren som vi fikk fra vår tipser.
Koden, som ser ut til å ha blitt produsert i 2014, ligger i en undermappe som heter «China Telecom». På samme nivå i mappestrukturen som China Telecom, ligger det flere andre undermapper med navnene til andre teleoperatører.
Det er altså sannsynlig at dette er en applikasjon som var ment for det kinesiske markedet, men som ved en feiltakelse har blitt distribuert til Nokia 7 Plus-telefoner utenfor Kinas grenser. HMD Global har gjentatte ganger unngått å svare NRK om hvorvidt dette stemmer.
Mens vi undersøkte denne saken kom vi over en tweet fra sikkerhetsforsker Dirk Wetter. Han hadde også undersøkt nettverkstrafikken til sin Nokia 7 Plus, og så de samme merkverdige pakkene.
I en e-postutveksling med NRK hevder Dirk at det ikke nødvendigvis er tilfeldig at denne pakken ble installert, men at det kan ha vært en bevisst handling utført av en aktør med tilgang til Nokias interne systemer.
Feil i pakkeprosessen
Da NRK konfronterte HMD Global, som eier Nokia-merkevaren, med denne saken, innrømmer de at en uspesifisert andel av Nokia 7 Plus-telefoner har sendt data til serveren i Kina. De har i slutten av februar sendt ut en programvareoppdatering som skal rette opp i feilen, og skriver i en e-post til NRK at de fleste av deres kunder har installert oppdateringen.
NRK har gjentatte ganger spurt HMD Global om hvem som eier eller disponerer serveren som har mottatt disse dataene, men det har HMD Global valgt å ikke svare på.
Vi har også spurt HMD Global om de er påkrevd å tilrettelegge for denne typen datainnsamling for å selge telefonene sine i Kina, men også dette har de gjentatte ganger valgt å ikke svare på.
HMD Global hevder også at ingen personer kan identifiseres på bakgrunn av dataene som sendes.
Det finske datatilsynet vurderer å åpne etterforskning
Ombudsmannen for datatilsyn i Finland, Reijo Aarnio, skriver i en e-post til NRK at dette var helt nye opplysninger for dem.
Hans kontor vurderer nå å starte en etterforskning av hendelsene.
– Min første reaksjon er at dette iallfall kan være et brudd på GDPR-lovgivningen. Jeg kommer derfor til å be våre IT-eksperter om råd, og vurderer å åpne en etterforskning av denne saken, skriver Reijo Aarnio i en e-post til NRK.
– Er å anse som personopplysninger
Atle Årnes er fagdirektør for teknologi i Datatilsynet, og sier på generelt grunnlag at all kontakt med eksterne servere betyr at personopplysninger avgis:
– Det å kontakte en server vil i alle tilfeller bety at personopplysninger avgis. I hvert fall IP-adresser. De andre opplysningene, som SIM-kortnummer, basestasjon og telefonens serienummer, er også ansett som personopplysninger.
Årnes påpeker at Datatilsynet ikke har kjennskap til denne saken, og derfor kun uttaler seg på generelt grunnlag.
Torgeir Waterhouse, direktør for internett og nye medier i bransjeorganisasjonen IKT-Norge, reagerer på opplysningene NRK framlegger:
– Dette er dramatisk. Det er ikke tvil om at dette er data som kan identifisere og overvåke individer.
Waterhouse sier videre at det ser ut til at mye har sviktet i denne saken, og setter spørsmålstegn ved at en slik feil kan eksistere i månedsvis uten at produsenten har oppdaget det:
– Det foregår overvåkning av informasjon som ikke er avklart, til et fremmed land, i månedsvis. Uten at mobilprodusenten oppdager det. Da er det på sin plass å stille spørsmålstegn ved om produsenten har gode nok rutiner for å håndtere sikkerheten til sine brukere.
Opptatt av sikkerhet, teknologi og trender?
Få et ping i postkassa hver gang vi publiserer noe interessant om teknologi eller medier!
– Må meldes inn som avvik
Årnes i Datatilsynet sier at hvis denne sendingen av data har skjedd ved et uhell, og at kundene ikke ble informert om det, må det rapporteres inn:
– Et avvik må rettes og eventuelt meldes. Dette omfattet aktiveringsdata. Dette må de da forklare. Hvem sendes dette til? Om det da altså ikke er et avvik som skal rettes. Det må påsees at de nødvendige hjemler foreligger om dette ikke er et avvik.
Nedenfor kan du lese hele uttalelsen fra HMD Global.
Uttalelse fra HMD Global
Vi har analysert saken, og kan bekrefte at det har skjedd en feil i pakkeprosessen av programvare i en enkel batch av en telefonmodell, som ved en feil forsøkte å sende aktiveringsdata til en utenlandsk server. Dataene ble aldri behandlet, og ingen personopplysninger ble delt med tredjeparter eller myndigheter.
Dette har nå blitt fikset, og nesten alle enheter som var påvirket av denne feilen har nå installert oppdateringen. HMD Global tar sikkerheten og personvernet til våre kunder alvorlig.
Videre vil vi påpeke at hvorvidt informasjon er personopplysninger, handler om kontekst og hvilke andre typer data som er tilgjengelig. Dette har blitt avgjort i saken Breyer vs. Tyskland, og har blitt bekreftet av tilsynsmyndigheter flere ganger.
Vi diskuterer gjerne saken med relevante finske myndigheter, og også det norske datatilsynet om de er interessert.
Dette er skikkelig alvorlig. Jeg har en 7 Plus men er usikker på hvordan jeg sjekker om «feilen» er rettet på min telefon. Har dere mulighet til å legge ut fremgagsmåten for å sjekke om telefonen sender slike data?
Du kan installere Packet Capture ( play.google.com/store/apps/details?id=app.greyshirts.sslcapture&hl=en).
Den krever ikke noe root tilgang, og gir en ok oversikt over all trafikk inn og ut av telefonen.
Hei Anders!
Det er ikke vanskelig i det hele tatt, men du må fikle litt. Jeg bruke en proxy som heter Fiddler (telerik.com/fiddler), den er gratis for privatpersoner å bruke. For å sende trafikken din gjennom denne må du:
Først gå til Tools -> Options -> Connections og huke av i boksen «Allow remote computers to connect»
Telefonen må settes opp til å bruke en proxy, dette gjør du under innstillinger for trådlønsettet du er koblet til: support.google.com/android/answer/9075847?hl=en
Her må du taste inn IP-adressen til datamaskinen din (den må være koblet til samme nett som mobilen din) og velge port 8888 (den finner du under innstillinger for Fiddler).
Nå skal all vanlig trafikk for apper og telefonen generelt gå gjennom proxyen. Her ser du også hva de andre appene dine sender.
Packet Capture app’en døde på mandag.
Packet capture ser ut til å blokkere andre apper på min Samsung 6 (nei, jeg bruker ikke Nokia…), som Here Maps. Søkefunksjonen sluttet plutselig å virke, og Here Maps insisterte på at jeg var offline. Stoppet Packet Capture, og alt funket igjen. Pakkene mine ble med andre ord virkelig «fanget», ha ha ha…
Dette er er vel en sak som potensielt kan medføre GDPRs -opp til 4% av global omsetning-straff. Og om det ikke følges opp så er GDPR så godt som verdiløst. Blir spennede å se fortsettelsen av saken.
Ja det var det med GDPRs systemet…..
Jeg tviler sterkt på at det er til noen nytte for oss vanlige brukere….. men det kommer å vise seg i denne og andre saker som pågår.
Før da gikk det å utelukke (søt)kaker og kaketrafikken …. enn nå da er en tvungen till og akseptere det ellers kommer vi ikke videre på nettet……. påtvungen sikkerhet!!
Datatilsynet var litt sent ute med klarhet og innførsel av GDPRs systemet i sin tid. En del av informasjonen hos Datatilsynet var henvisning til Det Danske datatilsynets informasjons arkiv når det skulle innføres i Norge.
Jeg har fått tilsendt og slettet data jeg har lagt igjen på en nettside etter at jeg oppdaget at de tok vare på det de mente var viktig, men slettet det jeg syntes var viktig. Så GDPR har en funksjon om man leser loven og formulerer seg riktig når man tar kontakt med nettstedet.
Det er bra funn, med undersøkende journalistikk på Twitter og Github og greier. Men den innsamlingen kan umulig være hverken overraskende eller særlig spesielt. Ser en over kommenterer at dette er skikkelig alvorlig, mens sannsynligheten er høy for at samme bruker har både facebook og andre sosiale medier og apper installert som hver for seg og samlet sett innhenter langt mer data om brukeren av telefonen enn de opplysningene som ble sendt til serveren i Kina fra Nokia 7.
Waterhouse fastlår at opplysningene kan benyttes til å identifisere og plassere en person, men det er ikke nødvendigvis sant, om brukeren ikke er eier av telefonen. Kun telefonen blir plassert. Derimot vil bruken av sosiale medier som facebook, beviselig medføre en informasjonsinnsamling som blir benyttet til inngående analyser av personen, av stadig mer avanserte algoritmer og kunstig intelligens som søker å forstå hvordan brukeren i neste fase kan påvirkes.
Denne saken blir å peke på en brennende kvist under en skogbrann, hvor alle som samtykker på sosiale mediers «personverninnstillinger» er med på å vanne med drivstoff. Det inkluderer ganske sikkert NRK Betas redaksjon.
Er stort sett enig i det du skriver her, men det er en viktig forskjell:
«Denne saken blir å peke på en brennende kvist under en skogbrann, hvor alle som samtykker på sosiale mediers «personverninnstillinger» er med på å vanne med drivstoff.»
«Samtykker». Facebook og andre steder som sporer deg «lovlig» (i følge GDPR, hvis de følger de reglene) krever at du samtykker til dette på forhånd. Det kan jo selvfølgelig diskuteres hvor lett det er for brukeren å lese og forstå den avtaleteksten de godkjenner, men GDPR setter også noen krav til enkelhet for slik tekst.
Ellers veldig bra artikkel fra NRK! God journalistikk, og her virker det som man har gått litt teknisk til verk for å finne mer info!
«…handler om kontekst» Ja visst, men kva konteksten er får me jo ikkje veta noko om!
Samtidig, telfonbrukarar gjev jo villeg i frå seg langt meir sensitiv info til kven som helst. Appar ber jo stadig om all slags meir eller mindre irrelevante tillgangar til posisjon, SMS mm. Heldigvis går det no fint å begrense slik tillgang utan å dille med rooting mm.
Men eg irriterer meg stadig over at android oppfører seg ufint om eg slår av tillgang til mikrofon for google play.
Jeg er helt enig Frode, dette ble en underlig oppblåst artikkel mht hva som ellers samles inn av data med og delvis med brukerens samtykke. At denne saken får forsida på nrk.no er bare bidrat til polarisering av forholdet mellom Kina og Norge. Statskanalen avdekker at Nokia 7 har sendt info om telefon (ikke om person) til en server i Kina, med tendensiøs påstand om at dette er en del av den kinesiske stats spionasje???
Mens Huawei har utstyr integrert i det norske nødnettet. NRK Beta, dere lever ikke i en Netflix serie om hackere som gjør samfunnsarbeid, og må huske konsekvensene på politisk nivå av å blåse opp en sak.
Dette behøver ikke å være mer alvorlig enn at det er installert programvare for «Finn min telefon» e.l. En slik tjeneste forutsetter at lokasjonsdata innhentes.
For at du skulle ha rett ville det vært nok med ID-koder for apparat og SIM-kort. Her sendes også ID for basestasjon, Wifi og 4G-ID. Dette blir overkill, for en «finn min telefon»-tjeneste?
Laudal: Id på telefon og sim forteller ingenting om hvor telefonen befinner seg, og hjelper deg ikke å finne den.
Til Ivar R: Hvis man bare har apparat-ID og SIM-kort-ID i et GSM-nettverk vil nettverket selv inneholde informasjonen om basestasjonen som brukes trodde jeg? Og da trianguleres posisjonen greit. Og hva skal man med Wifi og 4G-ID i tillegg uansett? Og hvordan kan dette sendes uten en trigger utløst av en bruker?
Veldig god sak som berører den generelle trusselen vi alle står over når verdens største, og veldig snart også mest avanserte og rikeste, økonomi bryter menneskerettigheter i en massiv skala. Skal vi kunne påvirke dem må vi starte en økonomisk kald krig og påvirke smart med alle virkemidler vi har. Lykkes vi ikke er det en stor sjanse for at det er det omvendt som vil skje.
Ja, og nådestøtet vil nok komme takket være datapakker fra noen Nokia 7 telefoner. Lurer på hva Huaweii telefonenen sender? Og hvilken info Facebook selger til Kina i håp om å få innpass på deres marked. Er du på facebook Thomas?
Jeg tror generelt det er bedre å følge sporet «hvor dypt og vidt påvirker storebror-samfunnet Kina næringslivet og borgernes frihet». Vi mister fort fokus på hovedårsaken (Kina) hvis det gjentakende temaet blir «hvor lurt blir VI og hvor konspiratorisk er ikke selskapene vi møter i det daglige» (til VÅR store skuffelse).
Hei! Har dere fått sjekket noen telefoner på nytt, etter denne oppdateringen som visstnok skulle stoppe sendingen?
det her er jo ikke noe nytt eller hemmelighet, har du en 1.-kr telefon med bindginstid hos telenor telis osv… da vil telefon forholdsinst med telenor/telia apper. appene sender akkurat slike info til simkort/telefonnr-leverandør.
Har du kjøpt en utenlandsk telefon eller kjøpt en tlf som ikke er fra norsk merkeforhandler, da er det stor sjanse for at tlf er ikke norsk selv om det viser meny språk som norsk, når man putter inn sim kortet til , da vil også slike info sende videre til original.land for å aktivere eller fortelle data bassen tlf er i bruk eller ikke.
Både google og apple sender slike info til data base til usa/hjemmebase feks.
Kommer dette som en overraskelse på noen? Det meste av billige produkter fra Kina sender jo data til hjemlandet, noen også til Russland. Er en grunn til at jeg kvittet meg med billige overvåkningskamera. Brannmur som nullruter trafikk til Kina er tingen 🙂
Lurer på om man kan bli siktet for spionasje for Kina hvis man er eier av Kinesisk telefon…
Kina .noen som ikke tror dette skjer i Norge ?.
Jag har en Nokia 7.1, inköpt i Sverige i januari 2019. Den ger ifrån sig mystiska ljud lite av och till och jag hittar ingen förklaring till dem. Hur kan jag kolla att den inte har denna sårbarhet installerad?
Utsendingen av denne informasjonen startet (for min del) 2019-02-17 og holdt på til 2019-03-01. Tre linjer fra ‘adb shell dumpsys package’ virker relevante for at telefonen sluttet med dette:
01.03.2019 18:43: System package com.qualcomm.qti.autoregistration no longer exists; it’s data will be wiped
01.03.2019 18:43: Destroying /data/user_de/0/com.qualcomm.qti.autoregistration due to: com.android.server.pm.PackageManagerException: Package com.qualcomm.qti.autoregistration is unknown
01.03.2019 18:43: Destroying /data/user/0/com.qualcomm.qti.autoregistration due to: com.android.server.pm.PackageManagerException: Package com.qualcomm.qti.autoregistration is unknown
com.qualcomm.qti.autoregistration var preinstallert (eller kom med januar-oppdateringen, jeg kjøpte telefonen i januar, og datoene i loggen er fra 1970, så det er vanskelig å verifisere)..
Noen som har testet om iPhone sender slikt?
Kina har store «sosiale» kontrollsystemer. Den triste sannheten er nok at alle kinesiske mobiler er utstyrt med slik overvåking. Takket være Henrik Austad og NRK beta får vi se litt av dette i praksis. Dette er en av grunnene til at jeg i mange år har holdt meg unna Huawei. Men så skjer det på en Nokia. De fleste mobiler er vel produsert i Kina eller har kinesiske deler.
Synes det er en bra artikkel og NRK beta tillater også kommentarer. Det er veldig bra. Til og med uten at man må kobles opp mot mobilnummer som gjøres av mange andre aviser på nett. Moderskipet NRK er jeg litt mindre fornøyd med når det kommer til åpenhet og mulighet for kommentarer, men det er nå slik verden har blitt. Enig med de som peker på Facebook som en stor fare for personvernet. Spesielt siden relasjoner mellom mennesker blir kartlagt og en historie med alt man legger ut blir lagret for så å (sannsynligvis) aldri bli slettet igjen. Så vidt jeg har forstått ble facebook startet på samme dag som prosjektet til Darpa Lifelog ble nedlagt… Tilfeldig?
Hva vil dette bety for meg som forbruker? Er det slik at jeg kan kreve pengene tilbake, eventuelt kreve ny telefon av HMD Global?
Når man ser hva folk legger ut på facebook og andre medier, så blir vel dette en liten sak i forhold. Men uansett er det forkastelig å misbruke teknologien på denne måten. Ikke at jeg tror Samsung, MS eller Apple har mindre kontroll over mobilbruken til sine kunder.
Det man kaller «næringslivet» endelig har klart å få en direktekanal i lommen på alle forbrukerne, først da begynner man å reagere på kynismen fra en kapitalmakt med mindre reguleringer enn krig.
Snakk om å være blåøyd!
Så bra at dere har innført en sånn bombesikker quiz greie… Så vi slipper spam liksom…
[…] Sursa 1 | Sursa 2 […]
[…] were sending personal data to Chinese servers. The flaw was first discovered when a user told NRKBeta that his device was sending location info, SIM card number, and serial number to a Chinese server. […]
[…] privacy blunder was discovered during an investigation by the Norwegian technology blog NRKbeta. .adsslot_9Mff4pqZiO{ width:728px !important; height:90px !important; } @media (max-width:1199px) { […]
[…] to information from the Norwegian site NRK , a batch of Nokia 7 Plus phones were sending users’ personal data to a server in China for […]
[…] Global Data Breach was first exposed by a Norwegian public broadcaster NRK on 21st March. A Nokia 7 Plus was sending data packages in an unencrypted format to a particular […]
[…] utilizatorii sunt finlandezii de la HMD, grupul ce a reînviat povestea Nokia. Site-ul norvegian NRKbeta a descoperit că aparatele Nokia 7 Plus vândute de HMD în Europa trimit date personale ale […]
[…] о проблеме рассказала NRK («Норвежская вещательная корпорация»), получившая […]
[…] Global Data Breach was first exposed by a Norwegian public broadcaster NRK on 21st March. A Nokia 7 Plus was sending data packages in an unencrypted format to a particular […]
[…] mid-range smartphones launched by HMD Global in 2018. According to the report from Norwegian site NRKbeta, Nokia 7 Plus was found sending the users data to a third party server in China in an unencrypted […]
[…] nrkbeta.no/2019/03/21/norske-telefoner-sendte-personopplysninger-til-kina/ […]
[…] a scandal involving sending unencrypted data to the Chinese government all thanks to Norwegian site NRK, which first reported the […]
[…] to a report by NRK, a Nokia 7 Plus user claimed that his smartphone contacted a server in China and sent data packages […]
[…] reports come from Norwegian news site NRK (via /r/Android, Android Authority) with the Scandinavian publication claiming that on-device data […]
[…] largest internet network in China and the second largest in the world. In March 2019, the firm was linked to the leak of user SIM, phone and location data from Nokia handsets out of […]