nrk.no

Norske telefoner sendte personopplysninger til Kina

Kategorier: Forbruker & Sikkerhet

Illustrasjon: Henrik Lied/NRK

Eiere av Nokia 7 Plus kan i flere måneder ha fått sendt sensitive opplysninger til en server i Kina. Datatilsynet i Finland har nå startet etterforskning etter NRKs avsløring.

Oppdatering 22. mars kl. 22:45: Etter NRKs saker om datalekkasjer hos HMD Global, har selskapet publisert en pressemelding hvor de redegjør for hendelsene. Les mer »

I kjølvannet av NRKbetas artikkel har det finske datatilsynet valgt å starte etterforskning av påstandene, ifølge den finske avisen Helsingin Sanomat

– Basert på vår foreløpige analyse kan man anta at personlig data har blitt overført, sier ombudsmann Reijo Aarnio til avisen.

I februar fikk vi et tips av Henrik Austad, en leser som hadde overvåket trafikken på sin Nokia 7 Plus. Han la merke til at telefonen ofte tok kontakt med en server, og sendte avgårde en datapakke.

Pakken ble sendt ukryptert, og da han inspiserte innholdet i pakken ble han bekymret:

Hver gang telefonen ble slått på, skjermen aktivert eller låst opp, gikk hans geografiske posisjon, samt SIM-kortnummer og telefonens serienummer til en server i Kina.

Hvorfor sender HMD Global, den finske eieren av Nokia, personlige brukerdata om sine kunder til en server i Kina?

Big in China

Nokia 7 Plus ble lansert i første kvartal 2018, og ble raskt en populær telefon – spesielt i Kina: Det første opplaget på 250 000 telefoner ble utsolgt på fem minutter.

Innaskjærs har telefonen også fått gode anmeldelser, illustrert med et «Fantastisk»-stempel av Tek.no, som sier at «det er fint lite å klage over i Nokia 7 Plus-land!».

På de fleste punkter stemmer nok det. Det er en kapabel telefon med en relativt beskjeden prislapp. Men tilbake til denne datapakken:

Pakken inneholder mye informasjon for nysgjerrige sjeler. Informasjonen består av identifiserbare data om både telefonen og telefonnummeret den er tilknyttet, samt hvilken basestasjon den er tilknyttet. Dette gjør det mulig for mottakeren av pakken, og alle med innsyn i trafikkstrømmen underveis, å følge telefonens bevegelser i sanntid.

Dataene vi fikk fra tipseren inneholdt også nettadressen som pakken sendes til. Da vi sjekket eierskapsregisteret for det aktuelle domenet, møtte vi en mur:

Nokia 7 Plus sendte dataene til domenet vnet.cn.

I registeret står «China Internet Network Information Center» (CNNIC) oppført som kontaktpunkt. Dette organet har ansvar alle domener under toppnivådomenet .cn. Da vi kontaktet CNNIC fikk vi beskjed om at det statlige teleselskapet China Telecom var eieren av domenet.

Via kinesiske kilder forsøkte vi å få svar på hvem som har disponert serveren, men kundebehandleren hos China Telecom klarte ikke finne de relevante opplysningene. Et raskt Google-søk brakte oss derimot videre:

I en åpen profil på Github, en delings- og samarbeidsplattform for utviklere, ligger det kode fra elektronikkprodusenten Qualcomm. Denne koden inneholder en registreringsprosedyre som er veldig lik metoden som ble benyttet av Nokia 7 Plus. Koden samler inn en rekke data om telefonen, og sender informasjonen på identisk format til den samme serveren som vi fikk fra vår tipser.

Et utdrag av registreringskoden funnet på Github, som sender data til samme server som Nokia 7 Plus.

Koden, som ser ut til å ha blitt produsert i 2014, ligger i en undermappe som heter «China Telecom». På samme nivå i mappestrukturen som China Telecom, ligger det flere andre undermapper med navnene til andre teleoperatører.

China Telecom er en stor teleoperatør, med over 300 millioner mobilkunder. Foto: miumiu/CCBY

Det er altså sannsynlig at dette er en applikasjon som var ment for det kinesiske markedet, men som ved en feiltakelse har blitt distribuert til Nokia 7 Plus-telefoner utenfor Kinas grenser. HMD Global har gjentatte ganger unngått å svare NRK om hvorvidt dette stemmer.

Mens vi undersøkte denne saken kom vi over en tweet fra sikkerhetsforsker Dirk Wetter. Han hadde også undersøkt nettverkstrafikken til sin Nokia 7 Plus, og så de samme merkverdige pakkene.

I en e-postutveksling med NRK hevder Dirk at det ikke nødvendigvis er tilfeldig at denne pakken ble installert, men at det kan ha vært en bevisst handling utført av en aktør med tilgang til Nokias interne systemer.

Feil i pakkeprosessen

Da NRK konfronterte HMD Global, som eier Nokia-merkevaren, med denne saken, innrømmer de at en uspesifisert andel av Nokia 7 Plus-telefoner har sendt data til serveren i Kina. De har i slutten av februar sendt ut en programvareoppdatering som skal rette opp i feilen, og skriver i en e-post til NRK at de fleste av deres kunder har installert oppdateringen.

NRK har gjentatte ganger spurt HMD Global om hvem som eier eller disponerer serveren som har mottatt disse dataene, men det har HMD Global valgt å ikke svare på.

Vi har også spurt HMD Global om de er påkrevd å tilrettelegge for denne typen datainnsamling for å selge telefonene sine i Kina, men også dette har de gjentatte ganger valgt å ikke svare på.

HMD Global hevder også at ingen personer kan identifiseres på bakgrunn av dataene som sendes.

Det finske datatilsynet vurderer å åpne etterforskning

Ombudsmannen for datatilsyn i Finland, Reijo Aarnio, skriver i en e-post til NRK at dette var helt nye opplysninger for dem.

Den finske dataombudsmannen, Reijo Aarnio. Foto: Dataombudsmannens byrå

Hans kontor vurderer nå å starte en etterforskning av hendelsene.

– Min første reaksjon er at dette iallfall kan være et brudd på GDPR-lovgivningen. Jeg kommer derfor til å be våre IT-eksperter om råd, og vurderer å åpne en etterforskning av denne saken, skriver Reijo Aarnio i en e-post til NRK.

– Er å anse som personopplysninger

Atle Årnes er fagdirektør for teknologi i Datatilsynet, og sier på generelt grunnlag at all kontakt med eksterne servere betyr at personopplysninger avgis:

– Det å kontakte en server vil i alle tilfeller bety at personopplysninger avgis. I hvert fall IP-adresser. De andre opplysningene, som SIM-kortnummer, basestasjon og telefonens serienummer, er også ansett som personopplysninger.

Årnes påpeker at Datatilsynet ikke har kjennskap til denne saken, og derfor kun uttaler seg på generelt grunnlag.

Torgeir Waterhouse, direktør for internett og nye medier i bransjeorganisasjonen IKT-Norge, reagerer på opplysningene NRK framlegger:

– Dette er dramatisk. Det er ikke tvil om at dette er data som kan identifisere og overvåke individer.

Torgeir Waterhouse, direktør for internett og nye medier i IKT-Norge. Foto: Martin Gundersen/NRK

Waterhouse sier videre at det ser ut til at mye har sviktet i denne saken, og setter spørsmålstegn ved at en slik feil kan eksistere i månedsvis uten at produsenten har oppdaget det:

– Det foregår overvåkning av informasjon som ikke er avklart, til et fremmed land, i månedsvis. Uten at mobilprodusenten oppdager det. Da er det på sin plass å stille spørsmålstegn ved om produsenten har gode nok rutiner for å håndtere sikkerheten til sine brukere.

Opptatt av sikkerhet, teknologi og trender?

Få et ping i postkassa hver gang vi publiserer noe interessant om teknologi eller medier!

– Må meldes inn som avvik

Årnes i Datatilsynet sier at hvis denne sendingen av data har skjedd ved et uhell, og at kundene ikke ble informert om det, må det rapporteres inn:

– Et avvik må rettes og eventuelt meldes. Dette omfattet aktiveringsdata. Dette må de da forklare. Hvem sendes dette til? Om det da altså ikke er et avvik som skal rettes. Det må påsees at de nødvendige hjemler foreligger om dette ikke er et avvik.

Nedenfor kan du lese hele uttalelsen fra HMD Global.

Uttalelse fra HMD Global

Vi har analysert saken, og kan bekrefte at det har skjedd en feil i pakkeprosessen av programvare i en enkel batch av en telefonmodell, som ved en feil forsøkte å sende aktiveringsdata til en utenlandsk server. Dataene ble aldri behandlet, og ingen personopplysninger ble delt med tredjeparter eller myndigheter.

Dette har nå blitt fikset, og nesten alle enheter som var påvirket av denne feilen har nå installert oppdateringen. HMD Global tar sikkerheten og personvernet til våre kunder alvorlig.

Videre vil vi påpeke at hvorvidt informasjon er personopplysninger, handler om kontekst og hvilke andre typer data som er tilgjengelig. Dette har blitt avgjort i saken Breyer vs. Tyskland, og har blitt bekreftet av tilsynsmyndigheter flere ganger.

Vi diskuterer gjerne saken med relevante finske myndigheter, og også det norske datatilsynet om de er interessert.

42 kommentarer

  1. Anders T. Hjertø Lind

    Dette er skikkelig alvorlig. Jeg har en 7 Plus men er usikker på hvordan jeg sjekker om «feilen» er rettet på min telefon. Har dere mulighet til å legge ut fremgagsmåten for å sjekke om telefonen sender slike data?

    Svar på denne kommentaren

  2. Kjetil Hustveit

    Dette er er vel en sak som potensielt kan medføre GDPRs -opp til 4% av global omsetning-straff. Og om det ikke følges opp så er GDPR så godt som verdiløst. Blir spennede å se fortsettelsen av saken.

    Svar på denne kommentaren

    • Ørvar Sigfusson (svar til Kjetil Hustveit)

      Ja det var det med GDPRs systemet…..

      Jeg tviler sterkt på at det er til noen nytte for oss vanlige brukere….. men det kommer å vise seg i denne og andre saker som pågår.

      Før da gikk det å utelukke (søt)kaker og kaketrafikken …. enn nå da er en tvungen till og akseptere det ellers kommer vi ikke videre på nettet……. påtvungen sikkerhet!!

      Datatilsynet var litt sent ute med klarhet og innførsel av GDPRs systemet i sin tid. En del av informasjonen hos Datatilsynet var henvisning til Det Danske datatilsynets informasjons arkiv når det skulle innføres i Norge.

    • Rudolf Johnsen (svar til Kjetil Hustveit)

      Jeg har fått tilsendt og slettet data jeg har lagt igjen på en nettside etter at jeg oppdaget at de tok vare på det de mente var viktig, men slettet det jeg syntes var viktig. Så GDPR har en funksjon om man leser loven og formulerer seg riktig når man tar kontakt med nettstedet.

  3. Det er bra funn, med undersøkende journalistikk på Twitter og Github og greier. Men den innsamlingen kan umulig være hverken overraskende eller særlig spesielt. Ser en over kommenterer at dette er skikkelig alvorlig, mens sannsynligheten er høy for at samme bruker har både facebook og andre sosiale medier og apper installert som hver for seg og samlet sett innhenter langt mer data om brukeren av telefonen enn de opplysningene som ble sendt til serveren i Kina fra Nokia 7.

    Waterhouse fastlår at opplysningene kan benyttes til å identifisere og plassere en person, men det er ikke nødvendigvis sant, om brukeren ikke er eier av telefonen. Kun telefonen blir plassert. Derimot vil bruken av sosiale medier som facebook, beviselig medføre en informasjonsinnsamling som blir benyttet til inngående analyser av personen, av stadig mer avanserte algoritmer og kunstig intelligens som søker å forstå hvordan brukeren i neste fase kan påvirkes.

    Denne saken blir å peke på en brennende kvist under en skogbrann, hvor alle som samtykker på sosiale mediers «personverninnstillinger» er med på å vanne med drivstoff. Det inkluderer ganske sikkert NRK Betas redaksjon.

    Svar på denne kommentaren

    • Henning (svar til Even)

      Er stort sett enig i det du skriver her, men det er en viktig forskjell:
      «Denne saken blir å peke på en brennende kvist under en skogbrann, hvor alle som samtykker på sosiale mediers «personverninnstillinger» er med på å vanne med drivstoff.»

      «Samtykker». Facebook og andre steder som sporer deg «lovlig» (i følge GDPR, hvis de følger de reglene) krever at du samtykker til dette på forhånd. Det kan jo selvfølgelig diskuteres hvor lett det er for brukeren å lese og forstå den avtaleteksten de godkjenner, men GDPR setter også noen krav til enkelhet for slik tekst.

      Ellers veldig bra artikkel fra NRK! God journalistikk, og her virker det som man har gått litt teknisk til verk for å finne mer info!

  4. Frode Haugsgjerd

    «…handler om kontekst» Ja visst, men kva konteksten er får me jo ikkje veta noko om!

    Samtidig, telfonbrukarar gjev jo villeg i frå seg langt meir sensitiv info til kven som helst. Appar ber jo stadig om all slags meir eller mindre irrelevante tillgangar til posisjon, SMS mm. Heldigvis går det no fint å begrense slik tillgang utan å dille med rooting mm.

    Men eg irriterer meg stadig over at android oppfører seg ufint om eg slår av tillgang til mikrofon for google play.

    Svar på denne kommentaren

    • Jeg er helt enig Frode, dette ble en underlig oppblåst artikkel mht hva som ellers samles inn av data med og delvis med brukerens samtykke. At denne saken får forsida på nrk.no er bare bidrat til polarisering av forholdet mellom Kina og Norge. Statskanalen avdekker at Nokia 7 har sendt info om telefon (ikke om person) til en server i Kina, med tendensiøs påstand om at dette er en del av den kinesiske stats spionasje???

      Mens Huawei har utstyr integrert i det norske nødnettet. NRK Beta, dere lever ikke i en Netflix serie om hackere som gjør samfunnsarbeid, og må huske konsekvensene på politisk nivå av å blåse opp en sak.

    • Thomas Laudal (svar til Ivar R)

      For at du skulle ha rett ville det vært nok med ID-koder for apparat og SIM-kort. Her sendes også ID for basestasjon, Wifi og 4G-ID. Dette blir overkill, for en «finn min telefon»-tjeneste?

    • Ivar R (svar til Ivar R)

      Laudal: Id på telefon og sim forteller ingenting om hvor telefonen befinner seg, og hjelper deg ikke å finne den.

    • Thomas Laudal (svar til Ivar R)

      Til Ivar R: Hvis man bare har apparat-ID og SIM-kort-ID i et GSM-nettverk vil nettverket selv inneholde informasjonen om basestasjonen som brukes trodde jeg? Og da trianguleres posisjonen greit. Og hva skal man med Wifi og 4G-ID i tillegg uansett? Og hvordan kan dette sendes uten en trigger utløst av en bruker?

  5. Thomas Laudal

    Veldig god sak som berører den generelle trusselen vi alle står over når verdens største, og veldig snart også mest avanserte og rikeste, økonomi bryter menneskerettigheter i en massiv skala. Skal vi kunne påvirke dem må vi starte en økonomisk kald krig og påvirke smart med alle virkemidler vi har. Lykkes vi ikke er det en stor sjanse for at det er det omvendt som vil skje.

    Svar på denne kommentaren

    • Ja, og nådestøtet vil nok komme takket være datapakker fra noen Nokia 7 telefoner. Lurer på hva Huaweii telefonenen sender? Og hvilken info Facebook selger til Kina i håp om å få innpass på deres marked. Er du på facebook Thomas?

    • Thomas Laudal (svar til Thomas Laudal)

      Jeg tror generelt det er bedre å følge sporet «hvor dypt og vidt påvirker storebror-samfunnet Kina næringslivet og borgernes frihet». Vi mister fort fokus på hovedårsaken (Kina) hvis det gjentakende temaet blir «hvor lurt blir VI og hvor konspiratorisk er ikke selskapene vi møter i det daglige» (til VÅR store skuffelse).

  6. det her er jo ikke noe nytt eller hemmelighet, har du en 1.-kr telefon med bindginstid hos telenor telis osv… da vil telefon forholdsinst med telenor/telia apper. appene sender akkurat slike info til simkort/telefonnr-leverandør.

    Har du kjøpt en utenlandsk telefon eller kjøpt en tlf som ikke er fra norsk merkeforhandler, da er det stor sjanse for at tlf er ikke norsk selv om det viser meny språk som norsk, når man putter inn sim kortet til , da vil også slike info sende videre til original.land for å aktivere eller fortelle data bassen tlf er i bruk eller ikke.

    Både google og apple sender slike info til data base til usa/hjemmebase feks.

    Svar på denne kommentaren

  7. Stein Arne Sordal

    Kommer dette som en overraskelse på noen? Det meste av billige produkter fra Kina sender jo data til hjemlandet, noen også til Russland. Er en grunn til at jeg kvittet meg med billige overvåkningskamera. Brannmur som nullruter trafikk til Kina er tingen 🙂

    Svar på denne kommentaren

  8. Thomas Anderson

    Jag har en Nokia 7.1, inköpt i Sverige i januari 2019. Den ger ifrån sig mystiska ljud lite av och till och jag hittar ingen förklaring till dem. Hur kan jag kolla att den inte har denna sårbarhet installerad?

    Svar på denne kommentaren

  9. Daniel Lysfjord

    Utsendingen av denne informasjonen startet (for min del) 2019-02-17 og holdt på til 2019-03-01. Tre linjer fra ‘adb shell dumpsys package’ virker relevante for at telefonen sluttet med dette:

    01.03.2019 18:43: System package com.qualcomm.qti.autoregistration no longer exists; it’s data will be wiped
    01.03.2019 18:43: Destroying /data/user_de/0/com.qualcomm.qti.autoregistration due to: com.android.server.pm.PackageManagerException: Package com.qualcomm.qti.autoregistration is unknown
    01.03.2019 18:43: Destroying /data/user/0/com.qualcomm.qti.autoregistration due to: com.android.server.pm.PackageManagerException: Package com.qualcomm.qti.autoregistration is unknown

    com.qualcomm.qti.autoregistration var preinstallert (eller kom med januar-oppdateringen, jeg kjøpte telefonen i januar, og datoene i loggen er fra 1970, så det er vanskelig å verifisere)..

    Svar på denne kommentaren

  10. Noen som har testet om iPhone sender slikt?

    Kina har store «sosiale» kontrollsystemer. Den triste sannheten er nok at alle kinesiske mobiler er utstyrt med slik overvåking. Takket være Henrik Austad og NRK beta får vi se litt av dette i praksis. Dette er en av grunnene til at jeg i mange år har holdt meg unna Huawei. Men så skjer det på en Nokia. De fleste mobiler er vel produsert i Kina eller har kinesiske deler.

    Svar på denne kommentaren

  11. Synes det er en bra artikkel og NRK beta tillater også kommentarer. Det er veldig bra. Til og med uten at man må kobles opp mot mobilnummer som gjøres av mange andre aviser på nett. Moderskipet NRK er jeg litt mindre fornøyd med når det kommer til åpenhet og mulighet for kommentarer, men det er nå slik verden har blitt. Enig med de som peker på Facebook som en stor fare for personvernet. Spesielt siden relasjoner mellom mennesker blir kartlagt og en historie med alt man legger ut blir lagret for så å (sannsynligvis) aldri bli slettet igjen. Så vidt jeg har forstått ble facebook startet på samme dag som prosjektet til Darpa Lifelog ble nedlagt… Tilfeldig?

    Svar på denne kommentaren

  12. Når man ser hva folk legger ut på facebook og andre medier, så blir vel dette en liten sak i forhold. Men uansett er det forkastelig å misbruke teknologien på denne måten. Ikke at jeg tror Samsung, MS eller Apple har mindre kontroll over mobilbruken til sine kunder.

    Svar på denne kommentaren

  13. Frode Fredriksen

    Det man kaller «næringslivet» endelig har klart å få en direktekanal i lommen på alle forbrukerne, først da begynner man å reagere på kynismen fra en kapitalmakt med mindre reguleringer enn krig.

    Snakk om å være blåøyd!

    Svar på denne kommentaren

  14. Hashtag Trending – new Apple services; hackers breach Asus updater; Nokia phone leaked data to China – IT World Canada – Airiters

    […] were sending personal data to Chinese servers. The flaw was first discovered when a user told NRKBeta that his device was sending location info, SIM card number, and serial number to a Chinese server. […]

    Svar på denne kommentaren

  15. Nokia admits its phones have been sending your location data to China in major privacy blunder – All The News

    […] privacy blunder was discovered during an investigation by the Norwegian technology blog NRKbeta. .adsslot_9Mff4pqZiO{ width:728px !important; height:90px !important; } @media (max-width:1199px) { […]

    Svar på denne kommentaren

  16. Some Nokia 7 Plus users’ personal information was sent to China | Tech Nation News

    […] to information from the Norwegian site NRK , a batch of Nokia 7 Plus phones were sending users’ personal data to a server in China for […]

    Svar på denne kommentaren

  17. Nokia 7 Plus Data Breach : Sending Unencrypted Data To Chinese Servers – Tech Burner

    […] Global Data Breach was first exposed by a Norwegian public broadcaster NRK on 21st March. A Nokia 7 Plus was sending data packages in an unencrypted format to a particular […]

    Svar på denne kommentaren

  18. HMD prinsa ca aparatele Nokia 7 Plus trimit date personale ala utilizatorilor direct in China – MOBzine.ro – Your Mobile IT World

    […] utilizatorii sunt finlandezii de la HMD, grupul ce a reînviat povestea Nokia. Site-ul norvegian NRKbeta a descoperit că aparatele Nokia 7 Plus vândute de HMD în Europa trimit date personale ale […]

    Svar på denne kommentaren

  19. Смартфоны Nokia 7 Plus передавали данные о своих владельцах в Китай | DevsAid.Com – Крупнейший в рунете ресурс посвященный самообразованию и самосове

    […] о проблеме рассказала NRK («Норвежская вещательная корпорация»), получившая […]

    Svar på denne kommentaren

  20. NOKIA 7 PLUS DATA BREACH :- SENDING UNENCRYPTED DATA TO CHINESE SERVERS – WEB ELECTRIC

    […] Global Data Breach was first exposed by a Norwegian public broadcaster NRK on 21st March. A Nokia 7 Plus was sending data packages in an unencrypted format to a particular […]

    Svar på denne kommentaren

  21. HMD Global Sends Personal Data from Nokia 7 Plus to China, Admits Later – PhoneRadar

    […] mid-range smartphones launched by HMD Global in 2018. According to the report from Norwegian site NRKbeta, Nokia 7 Plus was found sending the users data to a third party server in China in an unencrypted […]

    Svar på denne kommentaren

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Hvilken telefon nevnes i saken?

Hva heter dataombudsmannen i Finland?

Hvilken chip-produsent hadde registreringskode på Github?

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.