Historien om Nokia 7 Plus-telefoner i Norge som har sendt data til en server i Kina – angivelig som følge av en feil – har nå fått et nytt kapittel.
Nylig fortalte det norske mediet NRKBeta hvordan et ikke nærmere angitt antall Nokia 7 Plus-telefoner har sendt data til en server i Kina. Ifølge mediet var det blant annet snakk om maste-informasjoner og IMSI-nummeret, som kan brukes til å identifisere et mobilabonnement.
Bedriften bak Nokia-telefonene – finske HMD-global – har fortalt at det var snakk om en feilkonfigurasjon av et antall telefoner. I tillegg har bedriften sagt at dataene ikke har kunnet kobles til personer. I den forbindelsen har bedriften ikke informert noe nærmere om hvilke data det konkret dreier seg om.
Men MD Global har etter NRKBetas opprinnelige dekning, nå publisert en tekst med flere detaljer på nettsidene til bedriften. Tittelen på innlegget er:
«What you need to know about your privacy and the alleged «data breach» on Nokia 7 Plus phones»
Danske Version2 har via e-post blitt gjort oppmerksom på innlegget fra en pressekontakt hos bedriften.
Av e-posten går det fram at HMD Global har kontaktet den finske ombudsmannen på området for å anskueliggjøre saken på bakgrunn av «de villedende og ukorrekte medie-rapportene.»
Det kommer ikke fram hva HMD Global mener den feilaktige rapporteringen består i.
I innlegget på nettsiden som HMD Global offentliggjorde forrige fredag, er det flere gjentakelser i forhold til tidligere meldinger om saken. Men den finske bedriften letter også på sløret over informasjon som tidligere ikke har vært framme i denne sammenhengen.
Kort oppsummering
HMD Global forteller i innlegget at noen Nokia-telefoner ved en feil har blitt utstyrt med programvare som var tiltenkt det kinesiske markedet.
Feilen har ført til at de angjeldende telefonene feilaktig har forsøkt å sende data til en tredjeparts-server i Kina i forbindelse med aktivering av enheten.
Ifølge HMD Global ble disse dataene aldri behandlet, og ingen personer kan ha blitt identifisert på bakgrunn av disse dataene.
HMD Global understreker at ingen data som kan knyttes til personer har blitt delt med noen tredjepart. Bedriften utdyper ikke hvilke data det dreier seg om, og som altså ikke skulle kunne knyttes til personer.
Feilen ble rettet i februar i år med en programvareoppdatering som nesten alle berørte telefoner ifølge HMD Global har installert. HMD Global omtaler forøvrig denne programvareoppdateringen som en «security fix», altså en sikkerhetskorrigering.
Singapore
Ifølge innlegget fra HMD Global, blir enhetsdata fra Nokia-telefoner solgt utenfor det kinesiske markedet sendt til Singapore; til servere som ligger hos Amazon Web Services.
Det vil si at data fra de feilkonfigurerte telefonene skulle ha vært sendt til Singapore, og ikke til Kina.
Når data fra telefoner solgt på det kinesiske markedet skal sendes til en server i Kina, skyldes dette ifølge HMD Global kinesisk lovgivning. Den finske bedriften opplyser at for å leve opp til den kinesiske lovgivningen må data samlet inn i Kina oppbevares i landet.
Når det gjelder Singapore, opplyser HMD Global at landet har strenge personvernlover som er i tråd med GDPR.
Data
Når Nokia-telefonene i første omgang overhodet sender data til Singapore eller til Kina, skjer dette ifølge HMD Global primært av to årsaker.
Dels blir det sendt data den første gangen telefonen tas i bruk. Her er formålet ifølge HMD Global å vite når garantiperioden for enheten skal tre i kraft.
I tillegg til dette blir det samlet inn data dersom brukeren har valgt å delta i det som kalles «User Experience Program». Her skulle formålet være å samle inn brukertilfredshets-data og diagnostiske data fra enheten med henblikk på å forbedre «produkter og tjenester.»
Proxy-forvirring
I tillegg til innlegget har HMD Global også utgitt en «Data Collection Technical Details FAQ’s». Altså svar på ofte stilte spørsmål om tekniske detaljer.
HMD Global forteller her at det blir brukt to proxyer til datainnsamling - én til Kina og én til Singapore.
Proxyene er registrert av en samarbeidspartner, men er under HMD Globals kontroll, opplyser den finske bedriften.
«Vi vil gjerne poengtere at det er internettjenester som gir villedende informasjoner når man søker på proxy-eieren,» står det i skrivet om emnet hos HMD Global.
Her opplyser bedriften at domeneregistratoren ofte framstår som domene-eier i stedet for den faktiske domene-eieren.
«Vi har bemerket at dette har skapt en del forvirring, og derfor har vi innført en ny proxy-politikk som nå er i ferd med å bli implementert.»
HMD Global kommer ikke nærmere inn på hva forvirringen har bestått i, eller hva den nye politikken går ut på.
Java-kode og aktiveringsklient
I FAQ-en bemerker HMD Global også at det som bedriften kaller tech-entusiaster, har dekompilert javakoden bak den såkalte aktiveringsklienten – programmet som sender data til en server når telefonen blir tatt i bruk for første gang.
«Disse tech-guruene har funnet referanser til noen gammel koder (eng. legacy code), som for eksempel referanser til andre produkter og domener,» opplyser HMD Global på nettstedet.
Bedriften har her funnet det som beskrives som avvik fra god kodepraksis, og nå jobber programvareutviklere med forbedringer på området, opplyses det.
Når det gjelder aktiveringsprogrammet, forteller HMD Global i den tekniske FAQ-en at det i utgangspunktet bare sendes data én gang. Antagelig når telefonen tas i bruk for første gang.
Men likevel kan det, ifølge selskapet, oppstå situasjoner hvor serveren som aktiveringsklienten forsøker å nå, ikke kan ta imot data.
«I disse tilfellene ender enhets-aktiveringsklienten opp i en loop og vil prøve å sende den samme beskjeden om igjen og om igjen,» opplyser HMD Global.
Spørsmål
Innlegget fra HMD Global og FAQ'en etterlater flere spørsmål.
Bedriften går for eksempel ikke inn på detaljer rundt hvilke data som blir samlet inn fra enhetene i forhold til aktivering av garantien og det såkalte «User Experience Program».
Ifølge den opprinnelige artikkelen fra NRKBeta, blir data samlet inn og sendt om blant annet mac-adresse (et id-nummer for telefonens nettverksinterface), IMSI-numre (id-nummer for abonnementet), EMEI-nummeret (et id-nummer for telefonen) og et Cell ID.
Sistnevnte identifiserer den aktuelle masten som telefonen er tilkoblet.
Version2 har bedt HMD Global opplyse hvilke data det nærmere bestemt er snakk om.
På nettsiden kommer HMD Global heller ikke inn på hvor mange Nokia-telefoner som har hatt feil type programvare. Bedriften snakker bare om et «parti». Vi har spurt om hvor mange telefoner det dreier seg om, og om noen av dem har blitt solgt i Danmark.
Version2 vil komme med flere nyheter om saken hvis det kommer nevneverdig nytt å fortelle om den.
Både det danske Center for Cybersikkerhed og det danske Datatilsynet har tidligere opplyst at de ikke har noen kommentarer til saken.
Artikkelen er levert av Version2.dk