Når en telefon bliver tændt første gang, så er det almindelig praksis, at en stribe data bliver sendt til mobilproducenten, oplyser virksomheden bag Nokia 7 Plus, finske HMD Global i forhold til sagen om, at norske telefoner har kommunikeret med en server i Kina.
NRKBeta fortalte i går, hvordan mobiltelefoner af denne type solgt i Norge har sendt data til en server i Kina.
Ifølge NRKBeta indeholdt de sendte data blandt andet en mac-adresse (et id-nummer for telefonens netværksinterface), IMSI-numre (id-nummer for abonnementet), EMEI-nummeret (et id-nummer for telefonen) og et Cell ID.
Sidstnævnte identificerer den aktuelle mast, telefonen er tilkoblet.
HMD Global har oplyst til NRKBeta, at der var tale om en fejl, der blev fikset med en softwareopdatering i februar.
Version2 har også kontaktet den finske virksomhed, som nu har sendt et skriftligt svar.
Fejl i software-pakken
HMD Global understreger, at ingen personhenførbare oplysninger er blevet delt med nogen tredjepart. Både det norske og det finske datatilsyn mener ifølge NRKBeta, at de pågældende data, som ser ud til at være sendt til serveren i Kina, er persondata. Altså eksempelvis IMSI, der identificerer abonnementet.
»Vi har analyseret den aktuelle sag og fundet, at vores enheds-aktiveringsklient (eng. device activation client), tiltænkt et andet land, ved en fejl blev inkluderet i software-pakken for et enkelt batch Nokia 7 Plus,« står der i det skriftlige svar fra HMD Global til Version2.
Virksomheden oplyser ikke, hvor mange Nokia-telefoner, det konkret drejer sig om.
»Som følge af denne fejl, forsøgte disse enheder fejlagtigt at sende enheds-aktiverings-data til en tredjeparts-server. Dog blev sådanne data aldrig behandlet, og ingen person kunne identificeres ud fra disse data. Fejlen er allerede blevet fixed i februar ved at udskifte klienten til den rigtige lande-variant. Alle påvirkede enheder har modtaget dette fix, og næsten alle enheder har allerede installeret det,« oplyser HMD Global
Det fremgår ikke, hvordan HMD Global kan vide, data ikke er blevet behandlet. Det fremgår heller ikke af svaret, hvorfor data ifølge HMD Global ikke har kunnet bruges til at identificere en person med.
It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København. Konferenceprogrammet dækker compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Læs mere om Version2 Data & Cloud Expo, der afholdes sammen med Infosecurity Denmark
Telefongaranti
Men hvorfor overhovedet sende data til en server på den måde? Ifølge HMD Global, så er det almindelig praksis, at data tilgår producenten, første gang en enhed bliver aktiveret.
»At indsamle engangs-enheds-aktiverings-data (eng. one-time device activation data), når telefonen bliver taget i brug første gang, er en industri-praksis og tillader, producenter at aktivere telefon-garantien,« lyder det i det skriftlige svar fra HMD Global.
Version2 har forhørt sig lidt hist og pist i forhold til, om det er almindelig praksis, at telefoner på den måde 'ringer hjem' til producenten ved førstegangsaktivering. Pressechef hos Telia Mads Houe har forhørt sig i organisationen og er vendt tilbage med et svar.
»Vi er godt klar over, at de fleste producenter i forbindelse med aktivering af telefonen, har en eller anden korrespondance med deres egne servere. Og det er blandt i forhold til, hvornår telefonen er aktiveret, der er nogle garanti-hensyn. Men det er også i forhold til at indlæse nogle indstillinger på telefonen,« siger Mads Houe.
Derudover henviser han til telefonproducenterne for yderligere oplysninger om denne praksis. Det samme gør TDC i øvrigt.
Version2 har rettet henvendelse til en anden mobilproducent - altså udover HMD Global - for at høre, om det er almindelig praksis at sende eksempelvis masteoplysninger til en server ved aktivering. Vi vender tilbage, såfremt der er nævneværdigt nyt desangående.
Vi har desuden spurgt HMD Global, om Nokia-telefoner solgt i Danmark, også har været sat op til at kontakte en server i Kina. Det har virksomheden ikke svaret på.
Den danske it-sikkerhedsmyndighed Center for Cybersikkerhed, der også er ansvarlig for informationssikkerhed og beredskab i telesektoren (PDF), oplyser, at man ingen kommentarer har til sagen.
Datatilsynet har heller ingen kommentarer.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
