Nokia-producent efter læk af mobildata: Kina var en fejl, men dataindsamling er ikke

Der er almindelig praksis, at telefoner sender oplysninger til producenten ved aktivering, men det var en fejl, at norske teledata blev sendt til Kina, oplyser producent bag Nokia-telefon.

Når en telefon bliver tændt første gang, så er det almindelig praksis, at en stribe data bliver sendt til mobilproducenten, oplyser virksomheden bag Nokia 7 Plus, finske HMD Global i forhold til sagen om, at norske telefoner har kommunikeret med en server i Kina.

NRKBeta fortalte i går, hvordan mobiltelefoner af denne type solgt i Norge har sendt data til en server i Kina.

Ifølge NRKBeta indeholdt de sendte data blandt andet en mac-adresse (et id-nummer for telefonens netværksinterface), IMSI-numre (id-nummer for abonnementet), EMEI-nummeret (et id-nummer for telefonen) og et Cell ID.

Sidstnævnte identificerer den aktuelle mast, telefonen er tilkoblet.

HMD Global har oplyst til NRKBeta, at der var tale om en fejl, der blev fikset med en softwareopdatering i februar.

Version2 har også kontaktet den finske virksomhed, som nu har sendt et skriftligt svar.

Fejl i software-pakken

HMD Global understreger, at ingen personhenførbare oplysninger er blevet delt med nogen tredjepart. Både det norske og det finske datatilsyn mener ifølge NRKBeta, at de pågældende data, som ser ud til at være sendt til serveren i Kina, er persondata. Altså eksempelvis IMSI, der identificerer abonnementet.

»Vi har analyseret den aktuelle sag og fundet, at vores enheds-aktiveringsklient (eng. device activation client), tiltænkt et andet land, ved en fejl blev inkluderet i software-pakken for et enkelt batch Nokia 7 Plus,« står der i det skriftlige svar fra HMD Global til Version2.

Virksomheden oplyser ikke, hvor mange Nokia-telefoner, det konkret drejer sig om.

»Som følge af denne fejl, forsøgte disse enheder fejlagtigt at sende enheds-aktiverings-data til en tredjeparts-server. Dog blev sådanne data aldrig behandlet, og ingen person kunne identificeres ud fra disse data. Fejlen er allerede blevet fixed i februar ved at udskifte klienten til den rigtige lande-variant. Alle påvirkede enheder har modtaget dette fix, og næsten alle enheder har allerede installeret det,« oplyser HMD Global

Det fremgår ikke, hvordan HMD Global kan vide, data ikke er blevet behandlet. Det fremgår heller ikke af svaret, hvorfor data ifølge HMD Global ikke har kunnet bruges til at identificere en person med.

Telefongaranti

Men hvorfor overhovedet sende data til en server på den måde? Ifølge HMD Global, så er det almindelig praksis, at data tilgår producenten, første gang en enhed bliver aktiveret.

»At indsamle engangs-enheds-aktiverings-data (eng. one-time device activation data), når telefonen bliver taget i brug første gang, er en industri-praksis og tillader, producenter at aktivere telefon-garantien,« lyder det i det skriftlige svar fra HMD Global.

Version2 har forhørt sig lidt hist og pist i forhold til, om det er almindelig praksis, at telefoner på den måde 'ringer hjem' til producenten ved førstegangsaktivering. Pressechef hos Telia Mads Houe har forhørt sig i organisationen og er vendt tilbage med et svar.

»Vi er godt klar over, at de fleste producenter i forbindelse med aktivering af telefonen, har en eller anden korrespondance med deres egne servere. Og det er blandt i forhold til, hvornår telefonen er aktiveret, der er nogle garanti-hensyn. Men det er også i forhold til at indlæse nogle indstillinger på telefonen,« siger Mads Houe.

Derudover henviser han til telefonproducenterne for yderligere oplysninger om denne praksis. Det samme gør TDC i øvrigt.

Version2 har rettet henvendelse til en anden mobilproducent - altså udover HMD Global - for at høre, om det er almindelig praksis at sende eksempelvis masteoplysninger til en server ved aktivering. Vi vender tilbage, såfremt der er nævneværdigt nyt desangående.

Vi har desuden spurgt HMD Global, om Nokia-telefoner solgt i Danmark, også har været sat op til at kontakte en server i Kina. Det har virksomheden ikke svaret på.

Den danske it-sikkerhedsmyndighed Center for Cybersikkerhed, der også er ansvarlig for informationssikkerhed og beredskab i te­lesektoren (PDF), oplyser, at man ingen kommentarer har til sagen.

Datatilsynet har heller ingen kommentarer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Nielsen

Den danske it-sikkerhedsmyndighed Center for Cybersikkerhed, der også er ansvarlig for informationssikkerhed og beredskab i telesektoren (PDF), oplyser, at man ingen kommentarer har til sagen.

Datatilsynet har heller ingen kommentarer.

Man skulle ellers tro at netop disse to 'forekomster' gerne ville kommunikere "et-eller-andet"..

Pludseligt kan jeg ikke stoppe med at tænke på en finsk vinderkommentar givet i anden anledning....

K

Christian Nobel

Man skulle ellers tro at netop disse to 'forekomster' gerne ville kommunikere "et-eller-andet"..

Næppe, for det er jo bare noget som går ud over nogle tilfældige civile, og ikke rigtig passer ind i CFCuS' legen wargames.

Og det kan næppe heller bruges som løftestang for den sædvanlige send-flere-penge "trusselsvurdering", så derfor er det ikke noget de gider bruge tid på.

Mogens Ritsholm

Hvis det blot er en autoregisrering ved første aktivering, der er gået galt burde producenten vel have et bedre svar parat.

https://nrkbeta.no/2019/03/22/flere-nokia-modeller-har-kommunisert-med-k...

Minder mig om en sag fra ca. 1991, hvor en sommerhusejer klagede over sin telefonregning for et aflåst og ubeboet sommerhus. Sagen kørte løs i pressen som eksempel på, at hele systemet med tællerdebitering var upålideligt (det var en analog central på Djursland, hvor de enkelte opkald ikke registreres, men det løbende forbrug registreres på en mekanisk tæller).

Sagen blev taget op politisk.

Der blev sat en såkaldt abonnak på linien. Den viste i mange måneder intet. Men da vinteren kom blev det afsløret, at sommerhus ejeren havde installeret en fjernstyring af elektriske radiatorer. Blot var nummeret, hvortil udstyret skulle melde tilbage, når temperaturen blev lav, indkodet forkert. Så hele vintersæsonen kaldte det hver halve time til et lidt dyrere pagingnummer, som ikke var aktivt (vel et par kr. pr opkald). Og inden ejerne vendte tilbage i foråret holdt det op.

Sådan kan avancerede metoder føre til lavpraktiske uforståelige problemer og udbredt mistillid til hele systemet.

Måske er historien med Nokias telefoner noget lignende.

Bjarne Nielsen

Hvis det blot er en autoregisrering ved første aktivering, der er gået galt burde producenten vel have et bedre svar parat.

Jeg synes at der bliver taget let på denne persondatamæssige selvbetjening fra producentens side; jeg ville i disse GDPR-tider forvente at blive spurgt først, med en god forklaring på hvorfor at det er nødvendigt med alle disse oplysninger, og alternativer, og mulighed for at nægte. Mumle, mumle, garanti, mumle, er imho slet ikke godt nok.

Hvis det gøres til en forudsætning for i det hele taget at anvende produktet, så bør det deklareres udenpå kassen, så jeg kan undgå besværet med at skulle returnere telefonen, men istedet straks vælge en anden.

Christian P. Broe Petersen

Mumle, mumle, garanti, mumle, er imho slet ikke godt nok.

Jeg har aldrig benyttet mig af nogen former for producentgaranti. Man har jo 2 års reklamationsret i hele EU, og den kræver absolut ingen form for "aktivering" hos producenten eller indeberetning af oplysninger. Det kræver bare en alm. kvittering for køb af produktet.

En enkelt online forhandler (CDON) forsøgte at fortælle mig ind, at Motorola ikke dækkede, hvis batteriet fejlede (det var ikke engang fejlen), så der måtte jeg informere dem om købeloven. Men ellers plejer der ikke at være de store diskussioner om den slags i DK.

Maciej Szeliga

...om tyverisikring af telefoner end overvågning.
De fleste telefoner bliver købt sammen med abo. og bliver tændt første gang allerede i forretningen så det er noget bregrænset hvad informationen om lokation og mast og SIM kort kan bruges til.
Desuden er der kun én som kan matche SIM kort nummer til noget personhenførbart - det er teleselskabet som har solgt abo. Du kan trace det - men det kan du også med IMEI og MAC.

Hans Nielsen

...om tyverisikring af telefoner end overvågning.


Nej det er ikke, da stjålende telefoner jo stadig kan bruges i de lande hvor de tages med til.
Og hvis det var, så burde man vel selv tage stilling til om man vil have en sådan forsrikring.

Hvis det var en tyverisikringen, så ville Nokia da have oplyst det.
I stedet for som nu helt koret. At blive beskydt for at installere spionsofte som sender oplysninger til den kinesike stat.

Så Nokia må fra nu af være i en være kategori end hyundai, da det nu er bevist at de spionere ligesom USA. Det har vi stadig til gode at bleve bevist om fra hyundai.
Hvis det ikke er tilfældet, så må de kunne forklare hver linje kode af programmet, give grunden til at der er sendt oplsysninger, samt forklare de kinesiske server.

Men de telefoner man snart kan købe, hvis man ikke vil overvåges fra USA eller Kina er dog svundet stærkt ind. Eller hvis man bare ikke vil overvåges.

Nå men de mennesker som ikke kan forstå man krypteret og lukke kina og andre ip ude fra tilgang inden fra, via ens firewall, de kan da godt gå hjem. Måske skulle man kræve at IPS lave filter der lukker for alt adgang til kina, Rusland og (USA). Eller med positiv lister Man kunne så bede om at få lukket op hvis man har brug for det.
Det er jo ikke nok at gøre det i ens software eller på ens enheder, hvis de tilgår Internettet på denne forbryderiske vis.

Hvis jeg have en Nokia var den leveret tilbage, med krav om ophævelse af køb, på grund af overtrædelse ar GDPR. Det er på tide at telefoner med software, som overtræder GDPR, feks, ved krav om konti og slutbruger aftaler som ikke overholder loven.

I samme ombæringer må googe også få besked om at få ryddet op i den Europæsik adgang på play, så uloveligt software fjernes.

Vi skal simplehen bare ikke findes os i sådan noget,

Maciej Szeliga

Nej det er ikke, da stjålende telefoner jo stadig kan bruges i de lande hvor de tages med til.

Jeg regnede ikke med at jeg skulle skære det ud i pap....
Det er ikke tyverisikring for brugerens skyld, det er tyverisikring af transporten fra fabrik til salgspunkt.
Derfor melder telefonen lige så snart den bliver tændt - på det tidspunkt er der intet værdifuldt på den.

Hans Nielsen

Derfor melder telefonen lige så snart den bliver tændt - på det tidspunkt er der intet værdifuldt på den.


Hvorfor har Nokia så ikke meldt dette ud ?

Og hvordan kan du vide det, når Nokia og alle andre nægter at svare ?

Og hvad skulle en reportering til en Kinesik server, som ikke tilhøre producenten, på en Finsk mobiltelefon have med tyveri sikring at gøre ?

Hvorfor melder den så videre, efter den er tændt og taget i brug ?

Hvis de blev stjålent mellem fabrik og butik. hvorfor skulle de som evnet det, ikke også evne at forhindre opkald også bare ligge en anden firmware på ?

Og for at skære det ud i pap, jeg tror ikke på denne forklaring.

Det både, lugter, smager og ser ud som .

Bjarne Nielsen

Derfor melder telefonen lige så snart den bliver tændt - på det tidspunkt er der intet værdifuldt på den.

Hvorfor har Nokia så ikke meldt dette ud ?

I øvrigt er det i den konkrete sag sådan at oplysninger blev sendt hver gang telefon blev tændt, og ikke kun første gang. Jeg citerer fra den linkede artikel:

Hver gang telefonen ble slått på, skjermen aktivert eller låst opp, gikk hans geografiske posisjon, samt SIM-kortnummer og telefonens serienummer til en server i Kina.

Så det Nokia har bestemt grund til at have røde ører.

Men jeg antager at vi diskuterer almindelig praksis og at dette ikke er almindelig praksis.

Svend Nielsen

"Ifølge NRKBeta indeholdt de sendte data blandt andet en mac-adresse (et id-nummer for telefonens netværksinterface), IMSI-numre (id-nummer for abonnementet), EMEI-nummeret (et id-nummer for telefonen) og et Cell ID."

Hvis det svar er rigtigt, bryder Nokia med stor sandsynlighed GDPR reglerne. Det er nøjagtig samme problemstilling som da TDC's logning af turister i Århus blev underkendt af Datatilsynet, og TDC lukkede projektet ned (se: https://stiften.dk/erhverv/TDC-lukker-for-logning-af-kunders-faerden-ved...)

IMSI nummeret er personhenførbart, og betragtes ifølge GDPR rec. 30 som såkaldte Online Identifiers, som ikke må loges med mindre brugeren giver tilladelse. I denne kategori ligger også GPS koordinater, MAC adresser og EMEI nummer.

Så det er vel blot at afvente, at Datatilsynet griber ind og får dette GDPR brud stoppet.

Svend Nielsen

Der blev sat en såkaldt abonnak på linien. Den viste i mange måneder intet. Men da vinteren kom blev det afsløret, at sommerhus ejeren havde installeret en fjernstyring af elektriske radiatorer. .....

Måske er historien med Nokias telefoner noget lignende.

Jeg synes ikke at historien om abonnak på en telelinje minder om det Nokia gør. Der er meget stor forskel på hvad en kunde gør på eget initiativ, og derefter beskylder teleselskabet for, og hvad en udstyrsproducent gør bag om ryggen på en kunde.

Havde kunden givet sit aktive og informerede samtykke til at telefonen afleverer personhenførbare data, havde sagen været en anden, men det er ikke det Nokia gør. Nærmest tværtimod.

Mogens Ritsholm

Jeg synes ikke at historien om abonnak på en telelinje minder om det Nokia gør


Næh måske.

Men jeg tror jo, at tilmelding af Nokia-telefonerne er der for at sikre spor efter tyverier af telefoner på vej til forhandleren, som andre har sagt. Det har længe været et problem med tyverier af store leverancer. Med jomfrutilmeldingen kan man jo spore, hvor de er bragt i anvendelse.

Og så indebærer en fejl, at telefonen bare bliver ved at forsøge at få kontakt og temaet bliver løbende overvågning af kunderne ligesom temaet i sin tid var fejl i Jydsk telefons taksering på grund af en kodningsfejl i kundens udstyr, der førte til opkald hver halve time.

Jan Heisterberg

For mig handler det her om bevidst fortielse (data sendes uden brugerens viden og eksplicitte samtykke) OG en forkert moral (at data overhovedet kan tænkes sendes).

Det er bevidst dyneløfteri og vindueskikkeri af værste skuffe.
At det så viser sig at være en udbredt praksis blandt producenter gør det ikke bedre. Destinationen for data er bare en lille krølle.

Hvem sætter en GPS-tracker på børn, ægtefæller, biler, .... , kufferter for at snage i tid og sted......... Det ville som minimum være både umoralsk og uetisk.

Jeg ved ikke om det er GDPR, eller en ny forordning, som skal til, men det burde simpelthen koste en producent SÅ DYRT, at det aldrig vil ske - fordi det vil blive en så gigantisk bøde, at aktiekursen falder til 50%. DET vil give respekt.

Måske er det et spørgsmål om forbrugergaranti gennem fravalg af produkter, som er magtfaktoren?
Men var det mærkbart for e.g. VW - eller bare en krusning på afsætningskurven - efter diesel-sagen ?

Det kunne være interessant, på den givne baggrund, at lave en juridisk aftale med eg. Nokia, eller en anden producent, efter modellen: “Producenten indestår for at produktet IKKE ......... Kan overtrædelse heraf sandsynliggøres, udløses en forbruger-erstatning på mindst €1.000.000 per apparat.”.
Kunne også være en bil, hvor jeg ønsker al tracking info slettet i den indbyggede logger.
Det er jo interessant:
• siger producenten “nej”, så er konklusionen: “I vil altså ikke garanterer ......; det betyder at I .......”.

Tænk på spørgsmålet: “Er du holdt op med at snyde i skat?”.
• ja - betyder at .....
• nej - betyder at .....

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize