Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Nokia 7 Plus stuurde persoonlijke data naar Chinees staatsbedrijf'

De Nokia 7 Plus heeft bij een deel van de gebruikers privédata doorgestuurd naar Chinees staatsbedrijf China Telecom. Dat heeft fabrikant HMD Global bevestigd. De Finse gegevensbeschermingsombudsman onderzoekt of HMD hiermee de AVG heeft overtreden.

De Noorse publieke omroep NRK schrijft dat een lezer het doorsturen van data had waargenomen toen hij netwerkverkeer in de gaten hield via Wireshark. Data kwam daarbij terecht op zzhc.vnet.cn, een server die in handen is van China Telecom. Iedere keer dat de telefoon werd 'ingeschakeld', stuurde de software simkaart- en imei-nummers, inclusief de zendmast waarmee de telefoon was verbonden, onversleuteld naar een server in China. Het is onbekend of dit probleem ook in de Benelux heeft gespeeld.

De boosdoener bleek een service van chipmaker Qualcomm die draait op de achtergrond: com.qualcomm.qti.autoregistration.apk. Dat is vermoedelijk software om een telefoon automatisch te registreren op netwerken van China Telecom of andere providers.

Op Twitter schreef Duitser Dirk Wetter in januari al over het probleem. Hij schrijft dat de Qualcomm-apk in december op zijn telefoon verscheen. Later schrijft hij dat de februari-update de apk heeft verwijderd en zijn telefoon dus geen informatie meer verstuurt.

De Finse Ombudsman Reijo Aarnio zegt tegen Reuters te bekijken of er persoonsgegevens zijn uitgelekt en of daar een wettelijke onderbouwing voor was. In een eerste reactie zegt hij dat het op zijn minst een overtreding van de AVG-wetgeving kan zijn.

Tegen NRK bevestigt HMD Global, fabrikant van de Nokia-telefoons, dat een 'deel' van de Nokia 7 Plus-telefoons gegevens naar de server in China heeft gestuurd. De 'activeringsgegevens' zijn volgens het Finse bedrijf nooit verwerkt en er zou geen persoonlijke informatie zijn gedeeld met derden of autoriteiten. Eind februari heeft het bedrijf een software-update uitgebracht om de fout te herstellen. Het bedrijf claimt dat 'de meeste' klanten de update hebben geïnstalleerd.

Door Hayte Hugo

Stagiair nieuwsredactie

21-03-2019 • 13:53

94 Linkedin Google+

Submitter: nlzephyr

Lees meer

Reacties (94)

Wijzig sortering
De app staat niet (meer) op mijn Nokia 7 Plus, maar ik kan natuurlijk ook niet meer controleren of deze er ooit op gestaan heeft. Voor wat betreft de data, ik vind het persoonlijk niet heel boeiend dat ze mijn IMEI, SIMnummer en WiFi Mac adres hebben. Als ze me willen tracken op het door henzelf beheerde netwerk in China, dan doen ze toch wel als ik daar ben. Paranoïde complottheorie backdoors uitgesloten kunnen ze er buiten hun eigen netwerk toch niks mee en dan hebben ze het toch. Wel een minpuntje voor Nokia wat mij betreft, netjes is het niet.
Volgens de bron werd zelfs de GPS locatie doorgestuurd
Hver gang telefonen ble slått på, skjermen aktivert eller låst opp, gikk hans geografiske posisjon, samt SIM-kortnummer og telefonens serienummer til en server i Kina.

[Reactie gewijzigd door cracking cloud op 21 maart 2019 18:43]

En is er ook gekeken naar andere nokia toestellen?

*heeft een nokia 6 met een qualcomm cpu*
Probeer www.blokada.org eens. Dat is een lokale VPN op je telefoon. Deze kun je voeden met oa de lijsten van Dan Pollock (van https://www.someonewhocares.org/) en deze blokkeert internetverkeer naar ongewenste domeinen.

Ik heb sinds vier weken een Android toestel, op dag 1 blokada geïnstalleerd en tot nu toe heeft Blokada bijna 42.000 blokkades uitgevoerd. Blokada moet je sideloaden omdat het niet in de Playstore mag van Google, maar het is open source.

[Reactie gewijzigd door P_Tingen op 21 maart 2019 14:15]

Wauw dank.

Ik moet binnenkort mijn W10M inruilen voor of het geld hongerige Apple of de informatie honger van Google.

Blokkeert dit ook informatie welke vanuit Android naar Google gaat?
Dat maakt de keuze wel wat eenvoudiger.
Dat kan ik zo niet inschatten. Je kunt veel lijsten kiezen binnen Blokada, ook lijsten waarmee social media zaken worden geblokkeerd. Je kan evt zelf ook nog url's toevoegen, dus als het er niet in zit kun je het toevoegen.

Overigens kom ik zelf ook van W10M af. Overstap valt me - zeker met hulp van apps als Blokada - best mee. Android is een heel stuk volwassener geworden sinds ik het vier jaar geleden verliet. Toen was W10 echt verder dan Android. Nu zou ik dat niet meer willen zeggen.

[Reactie gewijzigd door P_Tingen op 21 maart 2019 15:21]

Eventueel alternatief voor Blokada is Adguard. Hiervoor moet je betalen en is niet open source.
Je kan een telefoon met LineageOS ondersteuning overwegen en daar dan gewoon geen Google apps op installeren. Heb je het beste van beide werelden. Gezien je van windows 10 mobile komt ben je toch wel gewend aan een wat gebrekkig app ecosysteem (nofi). Alles wat je mist zou je evt nog kunnen sideloaden via Yalp of apkmirror.
Niet negatief bedoelt, maar u wil niet (te veel) betalen met geld, en u wil niet betalen met data?
Op welke manier zou u dan wel willen betalen? (Nogmaals, dit is gewoon uit nieuwsgierigheid en niet slecht bedoelt)
Ik vond de balans welke MS hanteerde met de Lumia's perfect.

Tuurlijk verzamelen ze data, zij willen ook graag weten wie hun klanten zijn, maar ik geloof niet dat een partij, welke destijds maar 5% marktaandeel bezat, aan heftige privacy schending gaat doen. Ze hadden nog veel achterstand in te halen om negatief in het nieuws te komen.

Daarnaast is/was het updatebeleid erg goed.

Dus het kan allemaal wel voor een schappelijk bedrag. Maar de consument heeft geen keus meer op het moment, er is geen middenweg meer.
Huh is deze versie van Blokada dan niet dezelfde als bv F-Droid?
Nee, deze stelt alleen je DNS in, waarbij je dan evt kan kiezen voor een DNS die adware voor jou blokkeert. De app die niet in de playstore staat is een VPN en filtert actief het internetverkeer op jouw telefoon. Desgewenst kun je daar nog sites white- of blacklisten
ik heb als server quad9 gedaan met blokada.
Blokada moet je sideloaden omdat het niet in de Playstore mag van Google,
Je kan ook F-Droid sideloaden en Blokada vanuit daar installeren. Met F-Droid is het installeren van nieuwere versies ook een stuk makkelijker.
Ik gebruik Freedome VPN en zie dat die uitschakelt als ik Blokada inschakel. Ergens logisch, maar wel jammer dat dit niet tegelijk kan werken.
Hoe kun je controleren dat dit echt een lokaal vpn is i.p.v. dat al het verkeer via een andere server loopt? Dat laatste zou ik namelijk niet willen.
Je zou een site als https://www.whatismyip.com/ kunnen bezoeken en controleren of je een IP van je provider hebt of niet.
Is Blokada hetzelfde principe als Pihole? Buiten mijn wifi netwerk maak ik via VPN verbinding met mijn thuisnetwerk om ook zo met Pihole verbonden te zijn.
Yup zelfde principe
ik zweer bij deze app. ondanks dat ik af en toe teveel geblocked zie worden en dus soms even blokkada uit moet zetten en weer aan... maar wat een verschil is het.

Echt mensen, probeer het.

Hij is overigens wel te vinden in de app store;

https://play.google.com/s....blokada.alarm.dnschanger
"DNS changer by Blokada"

Nope. Dat is niet dezelfde applicatie.
apart, bij mij zijn toch echt de applicaties identiek
Het zijn toch echt andere applicaties.

Blokada DNS changer maakt het mogelijk om, zoals de naam al zegt, een andere DNS in te stellen voor jouw Android device. Zoals ze zelf beschrijven:

"Blokada DNS is a free, easy to use tool to make it easy and fast to switch between DNS (Domain Name System) servers to provide you trustworthy, secure and reliable internet connection. It protects you against DNS spoofing, helps you to access websites which are blocked by your ISP."

Blokada (Zonder DNS changer) initieert een VPN met zichzelf en functioneert als een DNS. Deze DNS gebruikt een hele rits aan bloklijsten (A la Pi-Hole) waardoor bepaalde verbindingen worden geweigerd. Van hun GitHub:

"Blokada is a free, open source, compact, fast ad blocker for Android that works for all apps and does not require root because it uses the VPN API"

Ze lijken echter erg op elkaar UI wise!

Blokada (Zonder DNS changer) is alleen direct van de Blokada site te downloaden of via F-Droid. Statement van de Blokada website:

"Blokada isn't allowed on Google Play because it interferes with Google's business model."

[Reactie gewijzigd door Schmitzenbergh op 21 maart 2019 14:50]

Dat lijkt mij sterk.
ID in Play Store: org.blokada.alarm.dnschanger
ID in F-Droid: org.blokada.alarm

Het lijkt erop dat de Play Store versie een subset bevat van de functionaliteit van de F-Droid versie.

Ook geeft de officiele website dit aan:
Note: Blokada isn't allowed on Google Play because it interferes with Google's business model. Please contact us in case you experience any problems. If for some reason you don't want to use the recommended way, Blokada is available on app stores listed below. Pick the one that suits you the most!
Ik denk dat de officiële bron het bij het juiste eind heeft.
merci voor de uitleg. en excuses! :o
Ik ga blokada eens proberen. Ik gebruik nu adaway, maar wil mijn telefoon binnenkort even resetten en wellicht laat ik root dan voor wat het is. gebruik het eigenlijk alleen puur voor ad blocking sinds xposed niet meer is wat het vroeger ooit eens was. nu zijn er relatief goede alternatieve voor. Enige minpunt van een vpn app is dat er een sleuteltje in je status bar terecht komt maar ja dat is een luxe probleem..
Enige minpunt van een vpn app is dat er een sleuteltje in je status bar terecht komt maar ja dat is een luxe probleem.
En daardoor kun je Blokada niet gebruiken terwijl je een VPN gebruikt. Dat is wel een minpuntje.

Als je het gaat gebruiken moet je ook direct even lid worden van de officiële Nederlandse community op Telegram: https://t.me/blokadanl ;)

[Reactie gewijzigd door MarnickS op 21 maart 2019 14:55]

Bedankt voor de tip. Ik heb het wel gewoon uit de play store kunnen krijgen

Zoals eerder beschreven is de play store versie niet dezelfde

[Reactie gewijzigd door pieterdebie op 22 maart 2019 05:27]

Pi-hole op een Raspberry Pi in je netwerk hangen kan ook. Veel uitgebreider.
En dan een VPN verbinding maken zodra je buiten de deur gaat.
pak Wireshark erbij zou ik zeggen :9
Misschien eens doen ja...

Of gewoon pihole en dan DNS requests monitoren...
*kijkt naar eigen nokia 8.1, ook met qualcomm cpu*

Oh god..
Ik gok niet dat sim- en IMEI-nummers persoonsgegevens zijn, maar los daarvan vraag ik me af of het kwaad kan dat deze data nu misschien in handen is van een partij. Kan men hier wat mee? Is het iets waard?
Zeker wel. De politie bijvoorbeeld gebruikt IMEI-nummers om telefoons op te sporen (kan je locaties mee opvragen).
ik wil deze fout niet goedpraten want boy-o-boyo, wat een debielen daar bij HMD en hun chinese companen. Maar laten we het ook niet erger maken dan het is.

Ergens in china is er blijkbaar een server die weet dat imei x gekoppeld is geweest aan zendmast id y.

Nu gok ik dat kpn vodafone en tmobile niet zo heel erg gratig zullen zijn om er dan ook bij te vertellen waar paal nummer RFX-317-14-AFF-B30 staat. Maar zelfs als dat er wel bij staat dan weten ze daar in china nu hoeveel nederlanders er een nokia mobieltje hebben. Storm in een glas water en heel erg slordig dat deze 'addon' voor chinese mobieltjes (blijkbaar nodig om op een netwerk in te kunnen loggen) nu ineens op europese varianten heeft gestaan.

Als microsoft eens een keertje de fout in gaat en debugsoftware life gooit met een maandelijke patch gaan we ook niet met zijn allen schreeuwen, maar nu het de oh zo boosaardige chinezen zijn??? 8)7 alsof die Amerikanen zo lief (en respectvol met onze privacy omgaan). Apple microsoft Amazon en google net zo goed~!

[Reactie gewijzigd door i-chat op 21 maart 2019 15:33]

Simnummer kan in principe gebruikt worden om je te tracken tussen toestellen natuurlijk. Het is niet perse persoonsgebonden, maar dat is een IP-adres ook niet perse - toch wordt ook dat gezien als persoonsgegeven. Of dat in de praktijk ook echt gebeurd (voor nefarious doeleinden) is een ander verhaal natuurlijk, maar helemaal onschuldig is het niet.
De koppeling aan zendmast IDs is wel een stukje vervelender, dan hoef je alleen maar een sim aan een telefoonnummer te koppelen en je kan al vrij aardig mensen tracken kwa beweging
Boete en klaar. Ze komen er altijd weer mee weg.
Boete voor wie? Qualcomm of Nokia
Nokia, die heeft de chip onvoldoende gecontroleerd. Nokia mag het uitvechten met Qualcomm wie er schuld heeft.
Maar het is niet de chip die de data doorstuurt, het is een applicatie van Qualcomm die door de updates vanuit Nokia zijn toegevoegd. Lijkt me logischer dat Qualcomm dan de boete krijgt.
Lijkt me logischer dat Qualcomm dan de boete krijgt.
Qualcomm installeert geen applicaties op Nokia toestellen. Dat doet Nokia.
Neen dat doet HMD, staat trouwens zeer duidelijk in het artikel!
Precies lijkt me ook raar dat qq de boete moet krijgen.
Qualcomm levert toch ook drivers bij de hardware en updates hiiervoor. Nokia geeft deze alleen door.
Het is een APK. Waarschijnlijk van qualcomm zelf tbv nokia.

De grote vraag is, is de oorsprong van Qualcomm zelf, heeft Nokia die zelf heeft mogen aanpassen tbv de Nokia’s of is het een standaard APK is, waarmee weer de vraag luid of andere toestellen hetzelfde doen.

Daarnaast bestaat de mogelijkheid dat beide partijen er niks mee te maken hebben en dat iemand een APK heeft gecompileerd en binnen heeft gekregen bij Nokia.


De info is te summier,
maar de gevolgen vragen wel om directe actie.
Nokia levert een update met enkele apps, als klant mag je wel vertrouwen dat het bedrijf dan heeft gecontroleerd precies welke software ze meeleveren en wat dat doet. Als dat niet zo is, is dat gewoon nalatigheid. Waarom Qualcomm het erin heeft zitten is een ander verhaal.
Lijkt op een service voor de Chinese markt om telefoons te activeren. Ofwel wellicht gewoon een foutje vane en China-only service op alle toestellen zetten?
Je zegt het zelf al:
door de updates vanuit Nokia zijn toegevoegd
Nokia is verantwoordelijk voor wat er uit de fabriek komt.
Kleine correctie; Nokia is alleen de merknaam die in licentie is gegeven aan HMD Global. Dus in dit geval zou het gaan tussen Qualcomm en HMD Global.

Ik denk trouwens wel dat HMD op z'n donder zal krijgen van Nokia Inc
Voor Nokia absoluut. Zij zijn namelijk degenen die de telefoon verkopen.

Nokia mag daarna zelf lekker Qualcomm gaan aanklagen om hun geld terug te krijgen en andere eventuele schade.
Vrij hoog "Foutje moet kunnen baas" -gehalte. Zoals ik het artikel lees, lijkt er geen kwade opzet. Niet veel minder fout daardoor, maar toch.
Geen kwade opzet maar ook niet "Oeps, foutje" wat mij betreft. Dit zou in een testlab gewoon naar voren gekomen moeten zijn.
Een beetje naïef om te denken dat het geen kwade opzet is. De data kwamen al lang binnen bij China Telecom. Dus?
Ik heb gisteren een Nokia 7 Plus aangeschaft (voor iemand anders) en gelijk ingesteld en geupdate (toen ik nog niets van dit nieuwsartikel wist).

Ik kan com.qualcomm.qti.autoregistration.apk niet vinden op get geüpdate apparaat, dus dat is oké.
Niveau van beveiligingspatch is overigens "1 oktober 2018".
Dan loop dat toestel 4 (maanden aan) security patches achter. Iedereen zit inmiddels op de februari patch.
Wellicht moet je nog een aantal keer handmatig zoeken naar updates.
Ik neem aan dat de hoeveelheid keren zoeken naar updates niet uitmaakt voor hoe snel de update binnenkomt? Heb al wel een keer of 10 gecontroleerd, maar hij blijft 't apparaat up to date vinden, haha
Dat probleem heb ik dus ook. Heb afgelopen zaterdag deze 7 Plus binnen gekregen en ingesteld. Het niveau van de beveiligingspatch is "Oktober 2018".
Nokia klantenservice benaderd maar die konden me niet helpen. Volgens hun is mijn toestel aan de hand van deze lijst up-to-date.

Edit:
Ik kan desondanks het betreffende pakket ook niet vinden. Wel een hele boel com.qualcomm... en com.evenwell....

[Reactie gewijzigd door jgoof89 op 21 maart 2019 17:21]

Wat ik mij afvraag, waarom staat com.qualcomm.qti.autoregistration.apk wel op de Nokia 7 plus toestellen, en niet op andere toestellen met de zelfde chipset?
vermoedelijk omdat je dergelijke software in bepaalde regio's nodig hebt om in te loggen op het mobiele netwerk, het lijkt er dan op dat ze een verkeerd vinkje hebben geplaats bij de build voor europese modellen die die login-service niet nodig hebben.
Toch moest ik stiekem een beetje gniffelen om dit bericht. Een beetje gechargeerd, maar Nokia wordt hier in de comments op Tweakers toch redelijk de hemel in geprezen en dan dit.

Voor wie niet van dit soort grappen houdt: www.blokada.org
Heb je gelijk in, daarom heb ik ook een Nokia gekocht :-)

Ik vrees wel dat dit nieuwsartikel uit en te na wordt aangehaald in alle toekomstige Nokia nieuws artikelen
Zonder meer. Bij elk Motorola nieuwsbericht waar Nokia in de reactie velden weer de hemel in geprezen wordt zal ik naar dit nieuwsartikel linken. }>
Zijn er in Finland vergelijkbare regels m.b.t. meldplicht bij datalekken als in Nederland? 'Foutje, moet kunnen' zou ik Nokia in dit geval nog wel kunnen vergeven, maar wel een update uitbrengen (en dus op de hoogte zijn), maar het lek niet melden bij de lokale instanties vind ik wel een fikse misser.
Dat ze een update uitbrengen hoeft niet te betekenen dat Nokia op de hoogte was. Tenzij dit de enige wijziging was.
Wanneer ze nieuwe versies van de door Qualcomm geleverde drivers hebben gebruikt voor een update met beveiligingspatches en andere updates, kan dat zonder medeweten van Nokia zijn.

Het is wel een vreemde zaak. Misschien een vereiste voor toestellen in China en zijn deze toestellen door parallelimport of een fout in de fabriek bij niet-Chinese gebruikers terecht gekomen?
In Finland zijn ze een onderzoek gestart

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True