Historien om Nokia 7 Plus-telefoner i Norge, der har sendt data mod en server i Kina - angiveligt som følge af en fejl - har fået et nyt kapitel.
Forleden fortalte det norske medie NRKBeta, hvordan et ikke nærmere defineret antal Nokia 7 Plus-telefoner har sendt data til en server i Kina. Ifølge mediet var der blandt andet tale om maste-informationer og IMSI-nummeret, der kan bruges til at identificere et mobilabonnement.
Virksomheden bag Nokia-telefonerne, finske HMD-global har fortalt, at der var tale om en fejlkonfiguration af et antal telefoner. Derudover har virksomheden anført, at data ikke har været personhenførbare. I den forbindelse har virksomheden ikke uddybet nærmere, hvilke data der konkret er tale om.
HMD Global har dog siden NRKBetas oprindelige dækning nu udgivet en tekst med flere detaljer på virksomhedens hjemmeside.. Titlen på indlægget er:
»What you need to know about your privacy and the alleged 'data breach' on Nokia 7 Plus phones«
Version2 er via mail blevet gjort opmærksom på indlægget fra en pressekontakt hos virksomheden.
Af mailen fremgår det, at HMD Global har kontaktet den finske ombudsmand på området for anskueliggøre sagen på baggrund af »de vildledende og ukorrekte medie-rapporteringer.«
Det fremgår ikke, hvori HMD Global mener, den fejlagtige rapportering består.
I indlægget på hjemmesiden, som HMD Global har offentliggjort i fredags, er der flere gentagelser i forhold til tidligere udmeldinger om sagen. Men den finske virksomhed løfter også sløret for informationer, der ikke tidligere har været fremme i denne sammenhæng.
It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København. Konferenceprogrammet dækker compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Læs mere om Version2 Data & Cloud Expo, der afholdes sammen med Infosecurity Denmark
Kort opsummering
HMD Global fortæller i indlægget budskabet om, at nogle Nokia-telefoner ved en fejl er blevet udstyret med software tiltænkt det kinesiske marked.
Fejlen har bevirket, at de pågældende telefoner fejlagtigt har forsøgt at sende data til en tredjeparts-server i Kina i forbindelse med aktivering af enheden.
Ifølge HMD Global blev disse data aldrig behandlet, og ingen personer kan være blevet identificeret på baggrund af disse data.
HMD Global understreger, at ingen personhenførbare data er blevet delt med nogen tredjepart. Virksomheden uddyber ikke, hvilke data der er tale om, og som altså ikke skulle være personhenførbare.
Fejlen blev rettet i februar i år med en softwareopdatering, som næsten alle berørte telefoner ifølge HMD Global har installeret. HMD Global omtaler i øvrigt denne softwareopdatering som et »security fix«, altså en sikkerhedsrettelse.
Singapore
Ifølge indlægget fra HMD Global, bliver enhedsdata fra Nokia-telefoner solgt udenfor det kinesiske marked sendt til servere i Singapore, som ligger hos Amazon Web Services.
Det vil sige, at data fra de fejlkonfigurerede telefoner skulle have været sendt til Singapore, ikke til Kina.
Når data fra telefoner solgt på det kinesiske marked skal sendes til en server i Kina, skyldes det ifølge HMD Global kinesisk lovgivning. Den finske virksomhed oplyser, at for at leve op til den kinesiske lovgivning, så skal data indsamlet i Kina opbevares i landet.
I forhold til Singapore, så oplyser HMD Global, at landet har en striks privacy lovgivning, som lever op til GDPR.
Data
Når Nokia-telefonerne i første omgang overhovedet sender data til Singapore eller til Kina, så sker det ifølge HMD Global primært af to årsager.
Dels bliver der sendt data første gang telefonen tages i brug. Her er formålet ifølge HMD Global at vide, hvornår garantiperioden for enheden skal træde i kraft.
Derudover bliver der samlet data ind, såfremt brugeren har valgt at deltage i det, der kaldes 'User Experience Program'. Her skulle formålet være, at indsamle brugertilfredsheds-data og diagnostiske data fra enheden med henblik på at forbedre »produkter og tjenester.«
Proxy-forvirring
Udover indlægget, så har HMD Global også udgivet en »Data Collection Technical Details FAQ’s«. Altså svar på hyppigt stillede spørgsmål til de tekniske detaljer.
HMD Global fortæller her, at der blive anvendt to proxy'er til dataindsamling. En til Kina og en til Singapore.
Proxy’erne er registreret af en samarbejdspartner, men er under HMD Globals kontrol, oplyser den finske virksomhed.
»Vi vil gerne pointere, at der er internettjenester, som giver vildledende informationer, når man søger på proxy-ejeren,« står der i skrivelsen om emnet hos HMD Global.
Her oplyser virksomheden, at domæneregistratoren ofte fremstår som domæne-ejer i stedet for den faktiske domæne-ejer.
»Vi har bemærket, at dette har skabt nogen forvirring, og derfor, har vi lavet en ny proxy-politik, som nu er ved at blive implementeret.«
HMD Global kommer ikke nærmere ind på, hvad forvirringen har bestået i, eller hvad den nye politik går ud på.
Java-kode og aktiveringsklient
I FAQ'en bemærker HMD Global også, at det, virksomheden kalder tech-entusiaster, har dekompileret javakoden bag den såkaldte aktiveringsklient - programmet, som sender data til en server, når telefonen bliver taget i brug første gang.
»Disse tech-guruer har fundet referencer til noget gammel kode (eng. legacy code), såsom referencer til andre produkter og domæner,« oplyser HMD Global på sitet.
Virksomheden har her fundet det, hvad der beskrives som afvigelser fra god kodepraksis, og nu arbejder softwareudviklere på forbedringer på området, oplyses det.
Hvad aktiveringsprogrammet angår, så fortæller HMD Global i den tekniske FAQ, at der i udgangspunktet kun sendes data en gang. Antageligt når telefonen tages i brug første gang.
Dog kan der ifølge selskabet opstå situationer, hvor serveren, som aktiveringsklienten forsøger at nå, ikke kan modtage data.
»I disse tilfælde, så ender enheds-aktiveringsklienten op i et loop og vil forsøge at sende den samme besked igen og igen,« oplyser HMD Global.
Spørgsmål
Indlægget fra HMD Global og FAQ'en efterlader flere spørgsmål.
Virksomheden går eksempelvis ikke i detaljer med, hvilke data der bliver indsamlet fra enhederne i forhold til aktivering af garantien og det såkaldte 'User Experience Program'
Ifølge den oprindelige artikel fra NRKBeta, så bliver data indsamlet og sendt om blandt andet mac-adresse (et id-nummer for telefonens netværksinterface), IMSI-numre (id-nummer for abonnementet), EMEI-nummeret (et id-nummer for telefonen) og et Cell ID.
Sidstnævnte identificerer den aktuelle mast, telefonen er tilkoblet.
Version2 har bedt HMD Global oplyse, hvilke data der nærmere bestemt er tale om.
På hjemmesiden kommer HMD Global heller ikke ind på, hvor mange Nokia-telefoner, der har haft den forkerte software. Virksomheden taler blot om et 'batch'. Vi har spurgt til, hvor mange telefoner, det drejer sig om, og om nogen af dem er solgt i Danmark.
Version2 påtænker at bringe nyt om sagen, såfremt der kommer nævneværdigt nyt at berette.
Både Center for Cybersikkerhed og det danske Datatilsynet har tidligere oplyst, at man ingen kommentarer har til sagen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
