SIKKERHET

Nokia-produsent etter lekkasje av mobildata: – Kina var en feil, men datainnsamling er det ikke

Det er vanlig praksis at telefoner sender opplysninger til produsenten ved aktivering, men det var en feil at norske teledata ble sendt til Kina, opplyser produsent bak Nokia-telefon.

Det er det finske selskapet HMD som nå har rettighetene å selge mobiltelefoner under Nokia-merkenavnet.
Det er det finske selskapet HMD som nå har rettighetene å selge mobiltelefoner under Nokia-merkenavnet. Foto: Kurt Lekanger
Jakob Møllerhøj, Version2.dk
25. mars 2019 - 13:07

Når en telefon blir skrudd på første gang er det vanlig praksis at en stripe med data blir sendt til mobilprodusenten. Det opplyser virksomheten bak Nokia 7 Plus, finske HMD Global, i etterkant av saken om at norske telefoner har kommunisert med en server i Kina

NRK beta foralte nylig hvordan mobiltelefoner av denne typen solgt i Norge har sendt data til en server i Kina.

Ifølge NRK beta inneholdt de sendte dataene blant annet en mac-adresse (et ID-nummer for telefonens nettverksgrensesnitt), IMSI-numre (ID-nummer for abonnementet), IMEI-nummeret (et ID-nummer for telefonen) og et Cell ID.

Sistnevnte identifiserer den aktuelle masten telefonen er tilkoblet. 

HMD Global har opplyst til NRK beta at det var snakk om en feil som ble fikset med en programvareoppdatering i februar. 

Version2 har også kontaktet den finske virksomheten, som nå har sendt et skriftlig svar.

Feil i programvarepakken

HMD Global understreker at ingen person-identifiserbare opplysninger er blitt delt med noen tredjepart. Både det norske og det finske datatilsynet mener ifølge NRK beta at de gjeldende dataene som ser ut til å være sendt til serveren i Kina, er persondata. Altså eksempelvis IMSI, som identifiserer abonnementet.

– Vi har analysert den aktuelle saken og funnet ut at vår enhets-aktiveringsklient (eng. device activation client), tiltenkt et annet land, ved en feil ble inkludert i programvarepakken for en enkelt batch Nokia 7 Plus, står det i det skriftlige svaret fra HMD Global til Version2. 

Virksomheten opplyser ikke hvor mange Nokia-telefoner det konkret dreier seg om.

– Som følge av denne feilen forsøkte disse enhetene feilaktig å sende enhets-aktiveringsdata til en tredjeparts server. Slike data ble imidlertid aldri behandlet, og ingen person kunne identifiseres ut fra disse dataene. Feilen er allerede blitt fikset i februar ved å skifte ut klienten til den riktige varianten for landet. Alle påvirkede enheter har mottatt denne fiksen, og nesten alle enheter har allerede installert det, opplyser HMD Global.

Det fremgår ikke hvordan HMD Global kan vite at data ikke er blitt behandlet. Det fremgår heller ikke av svaret hvorfor data ifølge HMD Global ikke har kunnet brukes til å identifisere en person.

Telefongaranti

Men hvorfor overhodet sende data til en server på den måten? Ifølge HMD Global, så er det alminnelig praksis at data sendes til produsenten første gang en enhet blir aktivert. 

– Å samle inn engangs-aktiveringsdata (eng. one-time device activation data) når telefonen blir tatt i bruk første gang, er bransjepraksis og tillater at produsenten kan aktivere telefon-garantien, lyder det i det skriftlige svaret fra HMD Global.

Version2 har forhørt seg litt rundt med hensyn til om hvorvidt det er alminnelig praksis at telefoner på denne måten «ringer hjem» til produsenten ved første gangs aktivering. Pressesjef hos Telia i Danmark, Mads Houe, har forhørt seg i organisasjonen og kommet tilbake med et svar.

– Vi er godt klar over at de fleste produsenter i forbindelse med aktivering av telefonen har en eller annen kommunikasjon med deres egne servere. Og det er blant annet med hensyn til når telefonen er aktivert, at det er noen garantihensyn. Men det er også med hensyn til å lese inn noen innstillinger på telefonen, sier Houe.

Utover dette henviser han til telefonprodusentene for ytterligere opplysninger om denne praksisen. Det samme gjør TDC. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Version2 har rettet en henvendelse til en annen mobilprodusent – altså utover HMD Global – for å høre om det er vanlig praksis å sende for eksempel opplysninger om basestasjon til en server ved aktivering. Vi vender tilbake såfremt det er noe nevneverdig nytt å melde i saken.

Vi har dessuten spurt HMD Global om Nokia-telefoner solgt i Danmark også har vært satt opp til å kontakte en server i Kina. Det har virksomheten ikke svart på. 

Den danske IT-sikkerhetsmyndighet Center for Cybersikkerhed, som også er ansvarlig for informasjonssikkerhet og beredskap i telesektoren i Danmark opplyser at de ikke har noen kommentar til saken. Det har heller ikke det danske Datatilsynet.

Artikkelen er levert av Version2.dk.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.