Uppdatering 2019-03-24:

Nokia: ”Ett misstag”

Norska NRK avslöjade tidigare i veckan att Nokia 7 Plus har skickat en del del känslig information om användarens uppkoppling till en kinesisk server. Nu har Nokia, eller snarare det kinesiska företaget HMD Global som äger varumärket Nokia svarat på en del av kritiken och frågorna som väckts, i ett pressmeddelande.

Bland annat skriver man att det hela rör sig om ett misstag och data som aldrig skulle ha skickats iväg. Denna aktiveringsmjukvara var menad för telefoner för andra länder. Vidare hävdar man att datan aldrig hann bli ”analyserad”, det vill säga använd till någonting. Misstaget ska också ha rättats till redan i februari 2019 med en patch som ”nästan alla” användare installerat.

En finsk utredning för att utreda ett eventuellt brott mot gdpr kan vara på väg att dras igång.


Tidigare (2019-03-21):

HMD Globals Nokia 7 Plus släpptes förra våren och har sålt hyfsat bra, speciellt i Kina. Telefonen är en av de billigaste med standard-Android och hyfsade specifikationer, vilket gör den till ett populärt alternativ för de som inte gillar andra tillverkares tillägg i systemet.

Nu visar det sig att kunderna ändå har fått något som inte ingår i Googles grundkod. NRK avslöjar nämligen att telefonerna i åtminstone några månader har skickat känsliga uppgifter till en server i Kina som ägs av China Telecom och är registrerad av ”China Internet Network Information Center” i Beijing.

NRK tipsades av en läsare som själv hade övervakat nätverkstrafiken på sin telefon, och har kommit fram till att telefonen skickar följande uppgifter:

  • Imei-kod (id-nummer för telefonens radiokrets).
  • Kod för ansluten basstation (vilket avslöjar ungefärlig geografisk position).
  • Imsi-koden som identifierar det installerade simkortet.
  • Mac-adressen för wifi.

Efter att ha gjort efterforskningar hittade NRK kod från Qualcomm som ligger öppet på Github och ser ut att vara vad som har hittat in i Nokia 7 Plus. Koden kommer från 2014 och ligger i en mapp med namnet China Telecom som i sin tur ligger intill andra mappar döpta efter andra operatörer.

Troligen har HMD Global råkat få med koden som skulle ligga på de telefoner som säljs i Kina på samtliga telefoner, eller åtminstone vissa telefoner som har sålts i Norden.

HMD Global säger till NRK att koden har tagits bort i en uppdatering som skickades ut i februari, och att de flesta kunder har uppdaterat, men har hittills inte svarat på vem som haft tillgång till servern uppgifterna skickas till.

Finska dataombudsmannen Reijo Aarnio svarar på ett mejl från NRK att det kan röra sig om GDPR-brott och att dataombudsmannens byrå funderar på att dra igång en utredning.