Undersøkelser utført av NRK viser at flere Nokia-modeller i det stille har kommunisert med en server eid av et kinesisk IT-selskap.
NRKbeta avslørte torsdag 21. mars at mobiler av typen Nokia 7 Plus har sendt informasjon om brukerne til en kinesisk server. Informasjonen inneholdt blant annet telefonens geografiske posisjon, samt SIM-kortnummer og registreringsnummer. Eier av Nokia-varemerket, HMD Global, vil ikke svare NRKbeta på spørsmål om hvem eier serveren.
HMD Global oppga at kun et begrenset antall telefoner av denne modellen var rammet. Avsløringen gjorde at det finske datatilsynet valgte å starte en etterforskning, og NRKbeta fikk en rekke tips.
En av tipserne, serbiske Milan Kragujević hevder at datalekkasjen har foregått i minst ni måneder, fra en annen modell. Det vil isåfall bety at minst to av Nokias modeller, Nokia 7 Plus og Nokia 2, har sendt personopplysninger til den samme serveren i Kina.
– Jeg oppdaget lignende aktivitet allerede for ni måneder siden. Telefonen var ikke en Nokia 7 Plus, men en billig Nokia 2. Jeg antar at programvaren lastes inn på tilsvarende måte på tvers av modeller, skriver Kragujević i en e-post til NRKbeta.
Han skriver videre at han forsøkte å kontakte HMD Global på Twitter, uten å få respons.
– Jeg burde antagligvis tatt kontakt på e-post, men jeg hadde ingen konkrete beviser om hva som foregikk, og så ingen interesse på Twitter, så jeg droppet hele saken.
I et innlegg på nettsamfunnet Hacker News i juni i fjor skriver Kragujević om hendelsen. Han legger også ved en tekstfil som inneholder alle applikasjoner hans Nokia 2 kom installert med.
En av disse heter autoregistration. Applikasjonen i vår første sak om denne datalekkasjen, bar også navnet autoregistration.
Clik here to view.
NRKbeta er heldige som har tilgang på en rekke dyktige utvikler-kollegaer i NRK, og torsdag 21. mars gjorde vi undersøkelser av to Nokia-modeller, en Nokia 3 og en Nokia 5. Begge disse modellene hadde en applikasjon med navnet autoregistration installert.
Kontakter kinaregistrert server
Denne applikasjonen har store likheter med den som var installert på Nokia 7 Plus, men ser etter NRKs analyse ikke ut til å være identisk.
NRKbeta har ikke tilgang til applikasjonens kildekode, men vi har dekompilert dens kjørbare kode. Til tross for det ikke gir et fullstendig bilde av hvordan applikasjonen er skrevet, gir det oss muligheten til å analysere hva den gjør.
Foreløpige analyser viser at applikasjonen aktiveres hver gang telefonen slås på, og «abonnerer» på flere hendelser fra telefonen. En av hendelsene er hvorvidt telefonen er tilkoblet nettverk, og hvorvidt alle systemtjenester er klare.
Clik here to view.
Applikasjonen henter videre inn en rekke data om telefonen, som blant annet hvilken basestasjon telefonen er tilkoblet, telefonens SIM-kortnummer, serienummer, og resten av informasjonen nevnt i den første saken.
Applikasjonen har også referanser til en «innholdstype» som er svært lite brukt, nemlig application/json-encoded. Den samme innholdstypen ble brukt under sendingen av personopplysningene fra Nokia 7 Plus.
Applikasjonen sender en kryptert melding til domenet aps.c2dms.com. NRKbeta har ikke klart å dekryptere informasjonen som sendes, og kjenner derfor ikke innholdet i pakken.
Clik here to view.
I eierskapsregisteret står foretaket Shanghai Best Oray Information S&T Co., Ltd. (Oray) oppført som innehaver av domenet. Dette foretaket er listet som en spreder av løsepengevirus hos Ransomware Tracker, en nettside som sporer hvilke domener og IP-adresser som bidrar med spredningen av skadevare.
Kilder sier til NRKbeta at Oray leverer programvare for å fjernstyre datamaskiner og mobiltelefoner i bedriftssammenheng, samt andre IT-relaterte tjenester. På sin side for utviklere lister Oray opp store merkevarer innenfor IT-industrien, som blant annet Qualcomm, Cisco og Huawei.
Clik here to view.
NRKbeta har spurt Shanghai Best Oray Information S&T Co., Ltd. om hvorfor deres server mottar data fra Nokia-telefoner, og vil oppdatere saken hvis de svarer.
HMD Global: Må undersøke før vi kan kommentere ytterligere
NRKbeta har konfrontert HMD Global med at flere telefonmodeller er i kontakt med uanmeldte servere. Vi har stilt en rekke spørsmål, blant annet hvorfor disse telefonene sender pakker til et domene eid av Shanghai Best Oray Information S&T Co., Ltd., og hvorvidt ytterlige telefonmodeller gjør det samme.
HMD Global viser til sin tidligere uttalelse, og skriver til at de gjerne diskuterer saken med relevante finske myndigheter, og også med det norske Datatilsynet hvis de er interessert i det. HMD Global skriver at de tar informasjonen de er forelagt på alvor, og at de må gjennomføre en grundig undersøkelse før de kan kommentere ytterligere.
HMD Globals tidligere uttalelse:
Uttalelse fra HMD Global
Vi har analysert saken, og kan bekrefte at det har skjedd en feil i pakkeprosessen av programvare i en enkel batch av en telefonmodell, som ved en feil forsøkte å sende aktiveringsdata til en utenlandsk server. Dataene ble aldri behandlet, og ingen personopplysninger ble delt med tredjeparter eller myndigheter.
Dette har nå blitt fikset, og nesten alle enheter som var påvirket av denne feilen har nå installert oppdateringen. HMD Global tar sikkerheten og personvernet til våre kunder alvorlig.
Videre vil vi påpeke at hvorvidt informasjon er personopplysninger, handler om kontekst og hvilke andre typer data som mottaker har tilgjengelig. Dette har blitt avgjort i saken Breyer vs. Tyskland, og har blitt bekreftet av tilsynsmyndigheter flere ganger.
Vi diskuterer gjerne saken med relevante finske myndigheter, og også det norske datatilsynet om de er interessert.