'Nokia 7 Plus stuurde persoonlijke data naar Chinees staatsbedrijf'

De Nokia 7 Plus heeft bij een deel van de gebruikers privédata doorgestuurd naar Chinees staatsbedrijf China Telecom. Dat heeft fabrikant HMD Global bevestigd. De Finse gegevensbeschermingsombudsman onderzoekt of HMD hiermee de AVG heeft overtreden.

De Noorse publieke omroep NRK schrijft dat een lezer het doorsturen van data had waargenomen toen hij netwerkverkeer in de gaten hield via Wireshark. Data kwam daarbij terecht op zzhc.vnet.cn, een server die in handen is van China Telecom. Iedere keer dat de telefoon werd 'ingeschakeld', stuurde de software simkaart- en imei-nummers, inclusief de zendmast waarmee de telefoon was verbonden, onversleuteld naar een server in China. Het is onbekend of dit probleem ook in de Benelux heeft gespeeld.

De boosdoener bleek een service van chipmaker Qualcomm die draait op de achtergrond: com.qualcomm.qti.autoregistration.apk. Dat is vermoedelijk software om een telefoon automatisch te registreren op netwerken van China Telecom of andere providers.

Op Twitter schreef Duitser Dirk Wetter in januari al over het probleem. Hij schrijft dat de Qualcomm-apk in december op zijn telefoon verscheen. Later schrijft hij dat de februari-update de apk heeft verwijderd en zijn telefoon dus geen informatie meer verstuurt.

De Finse Ombudsman Reijo Aarnio zegt tegen Reuters te bekijken of er persoonsgegevens zijn uitgelekt en of daar een wettelijke onderbouwing voor was. In een eerste reactie zegt hij dat het op zijn minst een overtreding van de AVG-wetgeving kan zijn.

Tegen NRK bevestigt HMD Global, fabrikant van de Nokia-telefoons, dat een 'deel' van de Nokia 7 Plus-telefoons gegevens naar de server in China heeft gestuurd. De 'activeringsgegevens' zijn volgens het Finse bedrijf nooit verwerkt en er zou geen persoonlijke informatie zijn gedeeld met derden of autoriteiten. Eind februari heeft het bedrijf een software-update uitgebracht om de fout te herstellen. Het bedrijf claimt dat 'de meeste' klanten de update hebben geïnstalleerd.

Nokia 7 Plus productfoto's

Reacties (94)

88Weighed 21 maart 2019 15:12

De app staat niet (meer) op mijn Nokia 7 Plus, maar ik kan natuurlijk ook niet meer controleren of deze er ooit op gestaan heeft. Voor wat betreft de data, ik vind het persoonlijk niet heel boeiend dat ze mijn IMEI, SIMnummer en WiFi Mac adres hebben. Als ze me willen tracken op het door henzelf beheerde netwerk in China, dan doen ze toch wel als ik daar ben. Paranoïde complottheorie backdoors uitgesloten kunnen ze er buiten hun eigen netwerk toch niks mee en dan hebben ze het toch. Wel een minpuntje voor Nokia wat mij betreft, netjes is het niet.

cracking cloud 21 maart 2019 18:43

Volgens de bron werd zelfs de GPS locatie doorgestuurd

Hver gang telefonen ble slått på, skjermen aktivert eller låst opp, gikk hans geografiske posisjon, samt SIM-kortnummer og telefonens serienummer til en server i Kina.

[Reactie gewijzigd door cracking cloud op 22 juli 2024 18:54]

vectormatic 21 maart 2019 13:57

En is er ook gekeken naar andere nokia toestellen?

*heeft een nokia 6 met een qualcomm cpu*

P_Tingen @vectormatic • 21 maart 2019 14:12

Probeer www.blokada.org eens. Dat is een lokale VPN op je telefoon. Deze kun je voeden met oa de lijsten van Dan Pollock (van https://www.someonewhocares.org/) en deze blokkeert internetverkeer naar ongewenste domeinen.

Ik heb sinds vier weken een Android toestel, op dag 1 blokada geïnstalleerd en tot nu toe heeft Blokada bijna 42.000 blokkades uitgevoerd. Blokada moet je sideloaden omdat het niet in de Playstore mag van Google, maar het is open source.

[Reactie gewijzigd door P_Tingen op 22 juli 2024 18:54]

BenVenNL @P_Tingen • 21 maart 2019 15:04

Wauw dank.

Ik moet binnenkort mijn W10M inruilen voor of het geld hongerige Apple of de informatie honger van Google.

Blokkeert dit ook informatie welke vanuit Android naar Google gaat?
Dat maakt de keuze wel wat eenvoudiger.

P_Tingen @BenVenNL • 21 maart 2019 15:20

Dat kan ik zo niet inschatten. Je kunt veel lijsten kiezen binnen Blokada, ook lijsten waarmee social media zaken worden geblokkeerd. Je kan evt zelf ook nog url's toevoegen, dus als het er niet in zit kun je het toevoegen.

Overigens kom ik zelf ook van W10M af. Overstap valt me - zeker met hulp van apps als Blokada - best mee. Android is een heel stuk volwassener geworden sinds ik het vier jaar geleden verliet. Toen was W10 echt verder dan Android. Nu zou ik dat niet meer willen zeggen.

[Reactie gewijzigd door P_Tingen op 22 juli 2024 18:54]

Zapato @P_Tingen • 21 maart 2019 16:36

Eventueel alternatief voor Blokada is Adguard. Hiervoor moet je betalen en is niet open source.

Caviatjuh @BenVenNL • 21 maart 2019 15:42

Je kan een telefoon met LineageOS ondersteuning overwegen en daar dan gewoon geen Google apps op installeren. Heb je het beste van beide werelden. Gezien je van windows 10 mobile komt ben je toch wel gewend aan een wat gebrekkig app ecosysteem (nofi). Alles wat je mist zou je evt nog kunnen sideloaden via Yalp of apkmirror.

Amigoo @BenVenNL • 21 maart 2019 23:21

Niet negatief bedoelt, maar u wil niet (te veel) betalen met geld, en u wil niet betalen met data?
Op welke manier zou u dan wel willen betalen? (Nogmaals, dit is gewoon uit nieuwsgierigheid en niet slecht bedoelt)

BenVenNL @Amigoo • 22 maart 2019 11:13

Ik vond de balans welke MS hanteerde met de Lumia's perfect.

Tuurlijk verzamelen ze data, zij willen ook graag weten wie hun klanten zijn, maar ik geloof niet dat een partij, welke destijds maar 5% marktaandeel bezat, aan heftige privacy schending gaat doen. Ze hadden nog veel achterstand in te halen om negatief in het nieuws te komen.

Daarnaast is/was het updatebeleid erg goed.

Dus het kan allemaal wel voor een schappelijk bedrag. Maar de consument heeft geen keus meer op het moment, er is geen middenweg meer.

RebelwaClue @P_Tingen • 21 maart 2019 18:25

Huh is deze versie van Blokada dan niet dezelfde als bv F-Droid?

P_Tingen @RebelwaClue • 21 maart 2019 19:56

Nee, deze stelt alleen je DNS in, waarbij je dan evt kan kiezen voor een DNS die adware voor jou blokkeert. De app die niet in de playstore staat is een VPN en filtert actief het internetverkeer op jouw telefoon. Desgewenst kun je daar nog sites white- of blacklisten

Noresponse @RebelwaClue • 21 maart 2019 22:14

ik heb als server quad9 gedaan met blokada.

The Zep Man

Datalek
Privacy

@P_Tingen • 21 maart 2019 14:35

Blokada moet je sideloaden omdat het niet in de Playstore mag van Google,

Je kan ook F-Droid sideloaden en Blokada vanuit daar installeren. Met F-Droid is het installeren van nieuwere versies ook een stuk makkelijker.

sumac @P_Tingen • 21 maart 2019 15:02

Ik gebruik Freedome VPN en zie dat die uitschakelt als ik Blokada inschakel. Ergens logisch, maar wel jammer dat dit niet tegelijk kan werken.

Anoniem: 1140043 @P_Tingen • 21 maart 2019 16:56

Hoe kun je controleren dat dit echt een lokaal vpn is i.p.v. dat al het verkeer via een andere server loopt? Dat laatste zou ik namelijk niet willen.

--Andre-- @Anoniem: 1140043 • 22 maart 2019 12:53

Je zou een site als https://www.whatismyip.com/ kunnen bezoeken en controleren of je een IP van je provider hebt of niet.

Buffalo @P_Tingen • 21 maart 2019 17:30

Is Blokada hetzelfde principe als Pihole? Buiten mijn wifi netwerk maak ik via VPN verbinding met mijn thuisnetwerk om ook zo met Pihole verbonden te zijn.

Anoniem: 1142233 @Buffalo • 21 maart 2019 21:15

Yup zelfde principe

Tha @P_Tingen • 21 maart 2019 14:35

ik zweer bij deze app. ondanks dat ik af en toe teveel geblocked zie worden en dus soms even blokkada uit moet zetten en weer aan... maar wat een verschil is het.

Echt mensen, probeer het.

Hij is overigens wel te vinden in de app store;

https://play.google.com/s....blokada.alarm.dnschanger

The Zep Man

Datalek
Privacy

@Tha • 21 maart 2019 14:36

https://play.google.com/s....blokada.alarm.dnschanger

"DNS changer by Blokada"

Nope. Dat is niet dezelfde applicatie.

Tha @The Zep Man • 21 maart 2019 14:37

apart, bij mij zijn toch echt de applicaties identiek

Schmitzenbergh @Tha • 21 maart 2019 14:46

Het zijn toch echt andere applicaties.

Blokada DNS changer maakt het mogelijk om, zoals de naam al zegt, een andere DNS in te stellen voor jouw Android device. Zoals ze zelf beschrijven:

"Blokada DNS is a free, easy to use tool to make it easy and fast to switch between DNS (Domain Name System) servers to provide you trustworthy, secure and reliable internet connection. It protects you against DNS spoofing, helps you to access websites which are blocked by your ISP."

Blokada (Zonder DNS changer) initieert een VPN met zichzelf en functioneert als een DNS. Deze DNS gebruikt een hele rits aan bloklijsten (A la Pi-Hole) waardoor bepaalde verbindingen worden geweigerd. Van hun GitHub:

"Blokada is a free, open source, compact, fast ad blocker for Android that works for all apps and does not require root because it uses the VPN API"

Ze lijken echter erg op elkaar UI wise!

Blokada (Zonder DNS changer) is alleen direct van de Blokada site te downloaden of via F-Droid. Statement van de Blokada website:

"Blokada isn't allowed on Google Play because it interferes with Google's business model."

[Reactie gewijzigd door Schmitzenbergh op 22 juli 2024 18:54]

The Zep Man

Datalek
Privacy

@Tha • 21 maart 2019 14:43

Dat lijkt mij sterk.
ID in Play Store: org.blokada.alarm.dnschanger
ID in F-Droid: org.blokada.alarm

Het lijkt erop dat de Play Store versie een subset bevat van de functionaliteit van de F-Droid versie.

Ook geeft de officiele website dit aan:

Note: Blokada isn't allowed on Google Play because it interferes with Google's business model. Please contact us in case you experience any problems. If for some reason you don't want to use the recommended way, Blokada is available on app stores listed below. Pick the one that suits you the most!

Ik denk dat de officiële bron het bij het juiste eind heeft.

Tha @The Zep Man • 21 maart 2019 14:45

merci voor de uitleg. en excuses!

Tweakwondo @P_Tingen • 21 maart 2019 14:37

Ik ga blokada eens proberen. Ik gebruik nu adaway, maar wil mijn telefoon binnenkort even resetten en wellicht laat ik root dan voor wat het is. gebruik het eigenlijk alleen puur voor ad blocking sinds xposed niet meer is wat het vroeger ooit eens was. nu zijn er relatief goede alternatieve voor. Enige minpunt van een vpn app is dat er een sleuteltje in je status bar terecht komt maar ja dat is een luxe probleem..

MarnickS @Tweakwondo • 21 maart 2019 14:55

Enige minpunt van een vpn app is dat er een sleuteltje in je status bar terecht komt maar ja dat is een luxe probleem.

En daardoor kun je Blokada niet gebruiken terwijl je een VPN gebruikt. Dat is wel een minpuntje.

Als je het gaat gebruiken moet je ook direct even lid worden van de officiële Nederlandse community op Telegram: https://t.me/blokadanl

[Reactie gewijzigd door MarnickS op 22 juli 2024 18:54]

pieterdebie @P_Tingen • 21 maart 2019 15:44

Bedankt voor de tip. Ik heb het wel gewoon uit de play store kunnen krijgen

Zoals eerder beschreven is de play store versie niet dezelfde

[Reactie gewijzigd door pieterdebie op 22 juli 2024 18:54]

CR2032 @P_Tingen • 21 maart 2019 22:55

Pi-hole op een Raspberry Pi in je netwerk hangen kan ook. Veel uitgebreider.

Jivebunny @CR2032 • 22 maart 2019 11:47

En dan een VPN verbinding maken zodra je buiten de deur gaat.

slijkie @vectormatic • 21 maart 2019 14:02

pak Wireshark erbij zou ik zeggen

vectormatic @slijkie • 21 maart 2019 14:03

Misschien eens doen ja...

Of gewoon pihole en dan DNS requests monitoren...

Xypod13 @vectormatic • 21 maart 2019 14:03

*kijkt naar eigen nokia 8.1, ook met qualcomm cpu*

Oh god..

Grutty 21 maart 2019 14:11

Ik gok niet dat sim- en IMEI-nummers persoonsgegevens zijn, maar los daarvan vraag ik me af of het kwaad kan dat deze data nu misschien in handen is van een partij. Kan men hier wat mee? Is het iets waard?

Anonymoussaurus

Smartphones
Datalek

@Grutty • 21 maart 2019 14:28

Zeker wel. De politie bijvoorbeeld gebruikt IMEI-nummers om telefoons op te sporen (kan je locaties mee opvragen).

i-chat @Anonymoussaurus • 21 maart 2019 15:32

ik wil deze fout niet goedpraten want boy-o-boyo, wat een debielen daar bij HMD en hun chinese companen. Maar laten we het ook niet erger maken dan het is.

Ergens in china is er blijkbaar een server die weet dat imei x gekoppeld is geweest aan zendmast id y.

Nu gok ik dat kpn vodafone en tmobile niet zo heel erg gratig zullen zijn om er dan ook bij te vertellen waar paal nummer RFX-317-14-AFF-B30 staat. Maar zelfs als dat er wel bij staat dan weten ze daar in china nu hoeveel nederlanders er een nokia mobieltje hebben. Storm in een glas water en heel erg slordig dat deze 'addon' voor chinese mobieltjes (blijkbaar nodig om op een netwerk in te kunnen loggen) nu ineens op europese varianten heeft gestaan.

Als microsoft eens een keertje de fout in gaat en debugsoftware life gooit met een maandelijke patch gaan we ook niet met zijn allen schreeuwen, maar nu het de oh zo boosaardige chinezen zijn???

alsof die Amerikanen zo lief (en respectvol met onze privacy omgaan). Apple microsoft Amazon en google net zo goed~!

[Reactie gewijzigd door i-chat op 22 juli 2024 18:54]

WhatsappHack

Privacy
Smartphones
Datalek

@Grutty • 21 maart 2019 14:18

Simnummer kan in principe gebruikt worden om je te tracken tussen toestellen natuurlijk. Het is niet perse persoonsgebonden, maar dat is een IP-adres ook niet perse - toch wordt ook dat gezien als persoonsgegeven. Of dat in de praktijk ook echt gebeurd (voor nefarious doeleinden) is een ander verhaal natuurlijk, maar helemaal onschuldig is het niet.

vectormatic @Grutty • 21 maart 2019 14:18

De koppeling aan zendmast IDs is wel een stukje vervelender, dan hoef je alleen maar een sim aan een telefoonnummer te koppelen en je kan al vrij aardig mensen tracken kwa beweging

Sharkoon 21 maart 2019 13:56

Boete en klaar. Ze komen er altijd weer mee weg.

Anoniem: 1184570 @Sharkoon • 21 maart 2019 13:58

Boete voor wie? Qualcomm of Nokia

Stoelpoot @Anoniem: 1184570 • 21 maart 2019 14:00

Nokia, die heeft de chip onvoldoende gecontroleerd. Nokia mag het uitvechten met Qualcomm wie er schuld heeft.

markieo @Stoelpoot • 21 maart 2019 14:07

Maar het is niet de chip die de data doorstuurt, het is een applicatie van Qualcomm die door de updates vanuit Nokia zijn toegevoegd. Lijkt me logischer dat Qualcomm dan de boete krijgt.

The Zep Man

Datalek
Privacy

@markieo • 21 maart 2019 14:11

Lijkt me logischer dat Qualcomm dan de boete krijgt.

Qualcomm installeert geen applicaties op Nokia toestellen. Dat doet Nokia.

killerbie @The Zep Man • 21 maart 2019 15:03

Neen dat doet HMD, staat trouwens zeer duidelijk in het artikel!

raro007 @killerbie • 21 maart 2019 15:37

Precies lijkt me ook raar dat qq de boete moet krijgen.

ToolBee @The Zep Man • 22 maart 2019 01:46

Qualcomm levert toch ook drivers bij de hardware en updates hiiervoor. Nokia geeft deze alleen door.

Iblies @markieo • 21 maart 2019 14:14

Het is een APK. Waarschijnlijk van qualcomm zelf tbv nokia.

De grote vraag is, is de oorsprong van Qualcomm zelf, heeft Nokia die zelf heeft mogen aanpassen tbv de Nokia’s of is het een standaard APK is, waarmee weer de vraag luid of andere toestellen hetzelfde doen.

Daarnaast bestaat de mogelijkheid dat beide partijen er niks mee te maken hebben en dat iemand een APK heeft gecompileerd en binnen heeft gekregen bij Nokia.

De info is te summier,
maar de gevolgen vragen wel om directe actie.

ikt @Iblies • 21 maart 2019 16:17

Nokia levert een update met enkele apps, als klant mag je wel vertrouwen dat het bedrijf dan heeft gecontroleerd precies welke software ze meeleveren en wat dat doet. Als dat niet zo is, is dat gewoon nalatigheid. Waarom Qualcomm het erin heeft zitten is een ander verhaal.

Armin @ikt • 21 maart 2019 20:39

Lijkt op een service voor de Chinese markt om telefoons te activeren. Ofwel wellicht gewoon een foutje vane en China-only service op alle toestellen zetten?

Stoelpoot @markieo • 21 maart 2019 14:13

Je zegt het zelf al:

door de updates vanuit Nokia zijn toegevoegd

Nokia is verantwoordelijk voor wat er uit de fabriek komt.

mcstone @Anoniem: 1184570 • 21 maart 2019 15:00

Kleine correctie; Nokia is alleen de merknaam die in licentie is gegeven aan HMD Global. Dus in dit geval zou het gaan tussen Qualcomm en HMD Global.

Ik denk trouwens wel dat HMD op z'n donder zal krijgen van Nokia Inc

Osiummaster @Anoniem: 1184570 • 21 maart 2019 15:36

Voor Nokia absoluut. Zij zijn namelijk degenen die de telefoon verkopen.

Nokia mag daarna zelf lekker Qualcomm gaan aanklagen om hun geld terug te krijgen en andere eventuele schade.

Megalodon86 21 maart 2019 13:57

Vrij hoog "Foutje moet kunnen baas" -gehalte. Zoals ik het artikel lees, lijkt er geen kwade opzet. Niet veel minder fout daardoor, maar toch.

Stoelpoot @Megalodon86 • 21 maart 2019 14:01

Geen kwade opzet maar ook niet "Oeps, foutje" wat mij betreft. Dit zou in een testlab gewoon naar voren gekomen moeten zijn.

invic @Megalodon86 • 21 maart 2019 18:05

Een beetje naïef om te denken dat het geen kwade opzet is. De data kwamen al lang binnen bij China Telecom. Dus?

Helium-3

21 maart 2019 15:51

Ik heb gisteren een Nokia 7 Plus aangeschaft (voor iemand anders) en gelijk ingesteld en geupdate (toen ik nog niets van dit nieuwsartikel wist).

Ik kan com.qualcomm.qti.autoregistration.apk niet vinden op get geüpdate apparaat, dus dat is oké.
Niveau van beveiligingspatch is overigens "1 oktober 2018".

SebasFM @Helium-3 • 21 maart 2019 16:02

Dan loop dat toestel 4 (maanden aan) security patches achter. Iedereen zit inmiddels op de februari patch.
Wellicht moet je nog een aantal keer handmatig zoeken naar updates.

Helium-3

@SebasFM • 21 maart 2019 16:03

Ik neem aan dat de hoeveelheid keren zoeken naar updates niet uitmaakt voor hoe snel de update binnenkomt? Heb al wel een keer of 10 gecontroleerd, maar hij blijft 't apparaat up to date vinden, haha

jgoof89 @Helium-3 • 21 maart 2019 17:04

Dat probleem heb ik dus ook. Heb afgelopen zaterdag deze 7 Plus binnen gekregen en ingesteld. Het niveau van de beveiligingspatch is "Oktober 2018".
Nokia klantenservice benaderd maar die konden me niet helpen. Volgens hun is mijn toestel aan de hand van deze lijst up-to-date.

Edit:
Ik kan desondanks het betreffende pakket ook niet vinden. Wel een hele boel com.qualcomm... en com.evenwell....

[Reactie gewijzigd door jgoof89 op 22 juli 2024 18:54]

Luchtbakker 21 maart 2019 13:58

Wat ik mij afvraag, waarom staat com.qualcomm.qti.autoregistration.apk wel op de Nokia 7 plus toestellen, en niet op andere toestellen met de zelfde chipset?

i-chat @Luchtbakker • 21 maart 2019 15:35

vermoedelijk omdat je dergelijke software in bepaalde regio's nodig hebt om in te loggen op het mobiele netwerk, het lijkt er dan op dat ze een verkeerd vinkje hebben geplaats bij de build voor europese modellen die die login-service niet nodig hebben.

P_Tingen 21 maart 2019 14:06

Toch moest ik stiekem een beetje gniffelen om dit bericht. Een beetje gechargeerd, maar Nokia wordt hier in de comments op Tweakers toch redelijk de hemel in geprezen en dan dit.

Voor wie niet van dit soort grappen houdt: www.blokada.org

Mr. Freeze @P_Tingen • 21 maart 2019 17:02

Heb je gelijk in, daarom heb ik ook een Nokia gekocht :-)

Ik vrees wel dat dit nieuwsartikel uit en te na wordt aangehaald in alle toekomstige Nokia nieuws artikelen

Anoniem: 181786 @Mr. Freeze • 21 maart 2019 21:57

Zonder meer. Bij elk Motorola nieuwsbericht waar Nokia in de reactie velden weer de hemel in geprezen wordt zal ik naar dit nieuwsartikel linken.

Wormaap 21 maart 2019 14:13

Zijn er in Finland vergelijkbare regels m.b.t. meldplicht bij datalekken als in Nederland? 'Foutje, moet kunnen' zou ik Nokia in dit geval nog wel kunnen vergeven, maar wel een update uitbrengen (en dus op de hoogte zijn), maar het lek niet melden bij de lokale instanties vind ik wel een fikse misser.

CivLord

@Wormaap • 21 maart 2019 14:41

Dat ze een update uitbrengen hoeft niet te betekenen dat Nokia op de hoogte was. Tenzij dit de enige wijziging was.
Wanneer ze nieuwe versies van de door Qualcomm geleverde drivers hebben gebruikt voor een update met beveiligingspatches en andere updates, kan dat zonder medeweten van Nokia zijn.

Het is wel een vreemde zaak. Misschien een vereiste voor toestellen in China en zijn deze toestellen door parallelimport of een fout in de fabriek bij niet-Chinese gebruikers terecht gekomen?

cracking cloud @Wormaap • 21 maart 2019 21:47

In Finland zijn ze een onderzoek gestart

Op dit item kan niet meer gereageerd worden.

'Nokia 7 Plus stuurde persoonlijke data naar Chinees staatsbedrijf'

Lees meer

Reacties (94)

Sorteer op:

Weergave: