Nyheder
22 marts 2019

Nokia-producent efter læk af mobildata: Kina var en fejl, men dataindsamling er ikke

Når en telefon bliver tændt første gang, så er det almindelig praksis, at en stribe data bliver sendt til mobilproducenten, oplyser virksomheden bag Nokia 7 Plus, finske HMD Global i forhold til sagen om, at norske telefoner har kommunikeret med e

Når en telefon bliver tændt første gang, så er det almindelig praksis, at en stribe data bliver sendt til mobilproducenten, oplyser virksomheden bag Nokia 7 Plus, finske HMD Global i forhold til sagen om, at norske telefoner har kommunikeret med en server i Kina.

NRKBeta fortalte i går, hvordan mobiltelefoner af denne type solgt i Norge har sendt data til en server i Kina.

Ifølge NRKBeta indeholdt de sendte data blandt andet en mac-adresse (et id-nummer for telefonens netværksinterface), IMSI-numre (id-nummer for abonnementet), EMEI-nummeret (et id-nummer for telefonen) og et Cell ID.

Sidstnævnte identificerer den aktuelle mast, telefonen er tilkoblet.

HMD Global har oplyst til NRKBeta, at der var tale om en fejl, der blev fikset med en softwareopdatering i februar.

Version2 har også kontaktet den finske virksomhed, som nu har sendt et skriftligt svar.

Fejl i software-pakken

HMD Global understreger, at ingen personhenførbare oplysninger er blevet delt med nogen tredjepart. Både det norske og det finske datatilsyn mener ifølge NRKBeta, at de pågældende data, som ser ud til at være sendt til serveren i Kina, er persondata. Altså eksempelvis IMSI, der identificerer abonnementet.

»Vi har analyseret den aktuelle sag og fundet, at vores enheds-aktiveringsklient (eng. device activation client), tiltænkt et andet land, ved en fejl blev inkluderet i software-pakken for et enkelt batch Nokia 7 Plus,« står der i det skriftlige svar fra HMD Global til Version2.

Virksomheden oplyser ikke, hvor mange Nokia-telefoner, det konkret drejer sig om.

»Som følge af denne fejl, forsøgte disse enheder fejlagtigt at sende enheds-aktiverings-data til en tredjeparts-server. Dog blev sådanne data aldrig behandlet, og ingen person kunne identificeres ud fra disse data. Fejlen er allerede blevet fixed i februar ved at udskifte klienten til den rigtige lande-variant. Alle påvirkede enheder har modtaget dette fix, og næsten alle enheder har allerede installeret det,« oplyser HMD Global

Det fremgår ikke, hvordan HMD Global kan vide, data ikke er blevet behandlet. Det fremgår heller ikke af svaret, hvorfor data ifølge HMD Global ikke har kunnet bruges til at identificere en person med.

Telefongaranti

Men hvorfor overhovedet sende data til en server på den måde? Ifølge HMD Global, så er det almindelig praksis, at data tilgår producenten, første gang en enhed bliver aktiveret.

»At indsamle engangs-enheds-aktiverings-data (eng. one-time device activation data), når telefonen bliver taget i brug første gang, er en industri-praksis og tillader, producenter at aktivere telefon-garantien,« lyder det i det skriftlige svar fra HMD Global.

Version2 har forhørt sig lidt hist og pist i forhold til, om det er almindelig praksis, at telefoner på den måde 'ringer hjem' til producenten ved førstegangsaktivering. Pressechef hos Telia Mads Houe har forhørt sig i organisationen og er vendt tilbage med et svar.

»Vi er godt klar over, at de fleste producenter i forbindelse med aktivering af telefonen, har en eller anden korrespondance med deres egne servere. Og det er blandt i forhold til, hvornår telefonen er aktiveret, der er nogle garanti-hensyn. Men det er også i forhold til at indlæse nogle indstillinger på telefonen,« siger Mads Houe.

Derudover henviser han til telefonproducenterne for yderligere oplysninger om denne praksis. Det samme gør TDC i øvrigt.

Version2 har rettet henvendelse til en anden mobilproducent - altså udover HMD Global - for at høre, om det er almindelig praksis at sende eksempelvis masteoplysninger til en server ved aktivering. Vi vender tilbage, såfremt der er nævneværdigt nyt desangående.

Vi har desuden spurgt HMD Global, om Nokia-telefoner solgt i Danmark, også har været sat op til at kontakte en server i Kina. Det har virksomheden ikke svaret på.

Den danske it-sikkerhedsmyndighed Center for Cybersikkerhed, der også er ansvarlig for informationssikkerhed og beredskab i te­lesektoren (PDF), oplyser, at man ingen kommentarer har til sagen.

Datatilsynet har heller ingen kommentarer.

Læs mere >>

FacebookTwitterLinkedinMailPrint

Også interessant

Arrangør
Version2
Ingeniøren
Partner