Eiere av Nokia 7 Plus kan i flere måneder ha fått sendt sensitive opplysninger til en server i Kina. Datatilsynet i Finland vurderer gransking etter NRKs avsløring.
I februar fikk vi et tips av Henrik Austad, en leser som hadde overvåket trafikken på sin Nokia 7 Plus. Han la merke til at telefonen ofte tok kontakt med en server, og sendte avgårde en datapakke.
Pakken ble sendt ukryptert, og da han inspiserte innholdet i pakken ble han bekymret:
Hver gang telefonen ble slått på, skjermen aktivert eller låst opp, gikk hans geografiske posisjon, samt SIM-kortnummer og telefonens serienummer til en server i Kina.
Hvorfor sender HMD Global, den finske eieren av Nokia, personlige brukerdata om sine kunder til en server i Kina?
Big in China
Nokia 7 Plus ble lansert i første kvartal 2018, og ble raskt en populær telefon – spesielt i Kina: Det første opplaget på 250 000 telefoner ble utsolgt på fem minutter.
Innaskjærs har telefonen også fått gode anmeldelser, illustrert med et «Fantastisk»-stempel av Tek.no, som sier at «det er fint lite å klage over i Nokia 7 Plus-land!».
På de fleste punkter stemmer nok det. Det er en kapabel telefon med en relativt beskjeden prislapp. Men tilbake til denne datapakken:
Pakken inneholder mye informasjon for nysgjerrige sjeler. Informasjonen består av identifiserbare data om både telefonen og telefonnummeret den er tilknyttet, samt hvilken basestasjon den er tilknyttet. Dette gjør det mulig for mottakeren av pakken, og alle med innsyn i trafikkstrømmen underveis, å følge telefonens bevegelser i sanntid.
Dataene vi fikk fra tipseren inneholdt også nettadressen som pakken sendes til. Da vi sjekket eierskapsregisteret for det aktuelle domenet, møtte vi en mur:
I registeret står «China Internet Network Information Center» (CNNIC) oppført som kontaktpunkt. Dette organet har ansvar alle domener under toppnivådomenet .cn. Da vi kontaktet CNNIC fikk vi beskjed om at det statlige teleselskapet China Telecom var eieren av domenet.
Via kinesiske kilder forsøkte vi å få svar på hvem som har disponert serveren, men kundebehandleren hos China Telecom klarte ikke finne de relevante opplysningene. Et raskt Google-søk brakte oss derimot videre:
I en åpen profil på Github, en delings- og samarbeidsplattform for utviklere, ligger det kode fra elektronikkprodusenten Qualcomm. Denne koden inneholder en registreringsprosedyre som er veldig lik metoden som ble benyttet av Nokia 7 Plus. Koden samler inn en rekke data om telefonen, og sender informasjonen på identisk format til den samme serveren som vi fikk fra vår tipser.
Koden, som ser ut til å ha blitt produsert i 2014, ligger i en undermappe som heter «China Telecom». På samme nivå i mappestrukturen som China Telecom, ligger det flere andre undermapper med navnene til andre teleoperatører.
Det er altså sannsynlig at dette er en applikasjon som var ment for det kinesiske markedet, men som ved en feiltakelse har blitt distribuert til Nokia 7 Plus-telefoner utenfor Kinas grenser. HMD Global har gjentatte ganger unngått å svare NRK om hvorvidt dette stemmer.
Mens vi undersøkte denne saken kom vi over en tweet fra sikkerhetsforsker Dirk Wetter. Han hadde også undersøkt nettverkstrafikken til sin Nokia 7 Plus, og så de samme merkverdige pakkene.
I en e-postutveksling med NRK hevder Dirk at det ikke nødvendigvis er tilfeldig at denne pakken ble installert, men at det kan ha vært en bevisst handling utført av en aktør med tilgang til Nokias interne systemer.
Feil i pakkeprosessen
Da NRK konfronterte HMD Global, som eier Nokia-merkevaren, med denne saken, innrømmer de at en uspesifisert andel av Nokia 7 Plus-telefoner har sendt data til serveren i Kina. De har i slutten av februar sendt ut en programvareoppdatering som skal rette opp i feilen, og skriver i en e-post til NRK at de fleste av deres kunder har installert oppdateringen.
NRK har gjentatte ganger spurt HMD Global om hvem som eier eller disponerer serveren som har mottatt disse dataene, men det har HMD Global valgt å ikke svare på.
Vi har også spurt HMD Global om de er påkrevd å tilrettelegge for denne typen datainnsamling for å selge telefonene sine i Kina, men også dette har de gjentatte ganger valgt å ikke svare på.
HMD Global hevder også at ingen personer kan identifiseres på bakgrunn av dataene som sendes.
Det finske datatilsynet vurderer å åpne etterforskning
Ombudsmannen for datatilsyn i Finland, Reijo Aarnio, skriver i en e-post til NRK at dette var helt nye opplysninger for dem.
Hans kontor vurderer nå å starte en etterforskning av hendelsene.
– Min første reaksjon er at dette iallfall kan være et brudd på GDPR-lovgivningen. Jeg kommer derfor til å be våre IT-eksperter om råd, og vurderer å åpne en etterforskning av denne saken, skriver Reijo Aarnio i en e-post til NRK.
– Er å anse som personopplysninger
Atle Årnes er fagdirektør for teknologi i Datatilsynet, og sier på generelt grunnlag at all kontakt med eksterne servere betyr at personopplysninger avgis:
– Det å kontakte en server vil i alle tilfeller bety at personopplysninger avgis. I hvert fall IP-adresser. De andre opplysningene, som SIM-kortnummer, basestasjon og telefonens serienummer, er også ansett som personopplysninger.
Årnes påpeker at Datatilsynet ikke har kjennskap til denne saken, og derfor kun uttaler seg på generelt grunnlag.
Torgeir Waterhouse, direktør for internett og nye medier i bransjeorganisasjonen IKT-Norge, reagerer på opplysningene NRK framlegger:
– Dette er dramatisk. Det er ikke tvil om at dette er data som kan identifisere og overvåke individer.
Waterhouse sier videre at det ser ut til at mye har sviktet i denne saken, og setter spørsmålstegn ved at en slik feil kan eksistere i månedsvis uten at produsenten har oppdaget det:
– Det foregår overvåkning av informasjon som ikke er avklart, til et fremmed land, i månedsvis. Uten at mobilprodusenten oppdager det. Da er det på sin plass å stille spørsmålstegn ved om produsenten har gode nok rutiner for å håndtere sikkerheten til sine brukere.
Opptatt av sikkerhet, teknologi og trender?
Få et ping i postkassa hver gang vi publiserer noe interessant om teknologi eller medier!
– Må meldes inn som avvik
Årnes i Datatilsynet sier at hvis denne sendingen av data har skjedd ved et uhell, og at kundene ikke ble informert om det, må det rapporteres inn:
– Et avvik må rettes og eventuelt meldes. Dette omfattet aktiveringsdata. Dette må de da forklare. Hvem sendes dette til? Om det da altså ikke er et avvik som skal rettes. Det må påsees at de nødvendige hjemler foreligger om dette ikke er et avvik.
Nedenfor kan du lese hele uttalelsen fra HMD Global.
Uttalelse fra HMD Global
Vi har analysert saken, og kan bekrefte at det har skjedd en feil i pakkeprosessen av programvare i en enkel batch av en telefonmodell, som ved en feil forsøkte å sende aktiveringsdata til en utenlandsk server. Dataene ble aldri behandlet, og ingen personopplysninger ble delt med tredjeparter eller myndigheter.
Dette har nå blitt fikset, og nesten alle enheter som var påvirket av denne feilen har nå installert oppdateringen. HMD Global tar sikkerheten og personvernet til våre kunder alvorlig.
Videre vil vi påpeke at hvorvidt informasjon er personopplysninger, handler om kontekst og hvilke andre typer data som er tilgjengelig. Dette har blitt avgjort i saken Breyer vs. Tyskland, og har blitt bekreftet av tilsynsmyndigheter flere ganger.
Vi diskuterer gjerne saken med relevante finske myndigheter, og også det norske datatilsynet om de er interessert.