Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

HMD: doorsturen telefoondata Nokia 7 Plus naar server in China ging per ongeluk

Het doorsturen van gegevens van Nokia 7 Plus-telefoons in diverse Europese landen naar een server in China ging per ongeluk. Dat claimt fabrikant HMD Global. Die software had alleen moeten zitten op Chinese modellen.

Door de fout kwam op een batch van toestellen voor de Europese markt de code voor Chinese modellen, claimt HMD Global. Het gaat om een app die de telefoon moest activeren voor het netwerk van China Telecom. De Chinese wet vereist dat dit gebeurt op een server in China. Omdat de data niet de juiste parameters had, accepteerde de server de activatie niet en probeerde de telefoon de data steeds opnieuw te sturen, aldus de fabrikant.

De activatiedata voor in Europa verkochte toestellen gaat naar een AWS-server in Singapore, aldus de fabrikant. Bovendien was de code van de activatie-app slordig geschreven, geeft HMD toe, met verwijzingen naar oude apparaten en domeinen. "Als onderdeel van onze audits op het gebied van app-kwaliteit hebben we gezien dat er wat afwijkingen zijn van programmeerpraktijken van goede kwaliteit en onze softwareteams werken aan verbeteringen."

Volgens HMD hebben vrijwel alle getroffen toestellen de update geïnstalleerd die de bug repareert. Die kwam mee met de patchronde van februari. Met de verklaring loopt HMD vooruit op het onderzoek dat loopt in Scandinavië naar de zaak. De Finse gegevensbeschermingsombudsman onderzoekt of HMD hiermee privacyregels heeft overtreden.

Data kwam daarbij terecht op zzhc.vnet.cn, een server die in handen is van China Telecom. Iedere keer dat de telefoon werd 'ingeschakeld', stuurde de software simkaart- en imei-nummers, inclusief de zendmast waarmee de telefoon was verbonden, onversleuteld naar een server in China. De boosdoener bleek een service van chipmaker Qualcomm die draait op de achtergrond: com.qualcomm.qti.autoregistration.apk.

Door Arnoud Wokke

Redacteur mobile

25-03-2019 • 06:44

47 Linkedin Google+

Reacties (47)

Wijzig sortering
Niet netjes, maar klingt plausibel.
Mijn eerste vraag: is de 7+ het enige toestel of zijn er meerdere? Een registratie gebeurt immers met elk nieuw toestel...
Niet netjes? Een registratie gebeurd moet alleen gebeuren als de gebruiker dat wil. En als het een service is van Qualcomm, kan je er donder op zeggen dat het op vele toestellen moet gebeuren van China. Of de gebruiker dat nu wil of niet.

We hebben in de jaren 90 met alle “gratis services” de deuren wagenwijd opengezet om privacy weg te geven. Krijgen we die ooit nog terug? Zolang we gratis boven privacy zetten niet en ik zie dat niet zo snel veranderen.

Het is ook jammer dat chipsmakers hieraan meewerken. Het is waarschijnlijk dat het niet veranderd omdat we hier al een tijd niet meer het grootste deel van de telefoonmarkt hebben, die is verschoven naar het oosten.
Dit heeft helemaal niets te maken met data collectie door HMD/Nokia en al het privacy.-gedoe hier rond. Zie het artikel:

> Iedere keer dat de telefoon werd 'ingeschakeld', stuurde de software simkaart- en imei-nummers, inclusief de zendmast waarmee de telefoon was verbonden, onversleuteld naar een server in China.

Dit is standaard voor alle telefoons die verkocht worden in China, en inwoners van China weten dit. Ik ben net zelf met een Samsung Galaxy S6 aan het prullen en kan exact dezelfde code vinden in de setup applicatie. HMD Global probeert hier niet je data te stelen, en dit heeft niets te maken met privacy in Europa. Als deze functionaliteit niet in je smartphone zit, mag je hem gewoon niet verkopen in China. Je zegt "jammer dat chipmakers hier aan meewerken", maar denk je echt dat ze de hele Chinese markt willen ontlopen vanwege wat morele bullshit?
Hoezo heeft het niks te maken met "privacy in Europa"?

De GDPR/AVG is ook buiten Europa van kracht, als je persoonsgegevens verwerkt van EU-burgers. In dit geval kan het zeker zo zijn dat "simkaart- en imei-nummers, inclusief de zendmast waarmee de telefoon was verbonden" persoonsgegevens zijn (geaggregeerd of op zich zelf staand). Mensen met een telefoonabonnement kunnen bijvoorbeeld geïdentificeerd worden door een simkaartnummer. Volgens mij onderschat je de kracht, maar ook reikwijdte van de AVG. Ter voorbeeld, zelfs een dynamisch IP telt onder de AVG als persoonsgegeven.
Hoewel het gebeurde met eu burgers, is de bedoeling van dat programma om Chinese burgers te tracken.
En dus bij een fout ook met eu burgers gebeurde.
Het is niet het eenmalig versturen van de data wat het probleem is. Het is als eerste dat het een service is, dat het niet alleen naar je provider gaat, dat je grove locatie wordt meegezonden, dat het onversleuteld gaat. Je kan ook afdwingen dat het voor de Chinese markt niet werkt om te activeren, hij niet opstart. Daar heb je geen service voor nodig.

Nergens zeg ik dat het datacollectie door HDM/Nokia gaat. Het gaat in dit specifieke geval om de Chinese overheid. Chipsmakers hoeven hier niet aan mee te werken, dat kan keurig via aanpassingen aan de opstartprocedure van Android die toch al aangepast is voor de Chinese markt i.v.m. de Google play services.

Zodra het een bijzonder persoonsgegeven is heeft het met privacy te maken. Zowel een simkaart als het IMEI nummer is traceerbaar naar een persoon dus een bijzonder persoonsgegeven. Dit is dus een duidelijk datalek.
Je verhaal is correct maar: wat morele bullshit? De reden waarom China dit doet is natuurlijk censuur en het uiteindelijke resultaat is best schokkend (app voor minderheden) Het gaat naar een Chinese server zodat ze (controle hebben) er zeker van zijn van wie die imei/locatie is.
Is het voor een Europeaan schokkend of schadelijk, nee niet echt, had HMD kwalijke bedoelingen? denk het niet.
Waarom moet de telefoon geregistreerd worden? Hij is in Europa gekocht. Dan hebben we toch niets met China te maken.

Laat de fabrikanten maar een speciale versie ,aken voor telefoons die daar worden verkocht.Of zouden andere regeringen die data ook graag willen hebben?
Waarom moet de telefoon geregistreerd worden? Hij is in Europa gekocht. Dan hebben we toch niets met China te maken.
Het was een bug.
Laat de fabrikanten maar een speciale versie ,aken voor telefoons die daar worden verkocht.
Die is er ook. Het hele probleem was nou juist dat een lading telefoons die voor China geconfigureerd waren per ongeluk in Europa op de markt zijn gekomen.

Dit staat overigens ook heel duidelijk in het artikel...
En laat ze dat dan maar in China doen. Dan heb je geen probleem.

Ik geloof niet zo in "per ongeluk".

Dat zou betekenen dat de kwaliteitscontrole en logistiek slecht is. Dus geen HMD meer.
En laat ze dat dan maar in China doen. Dan heb je geen probleem.
Laat ze wat maar in China doen?
Ik geloof niet zo in "per ongeluk".
Waarom niet? Toegegeven, het is niet met zekerheid te zeggen, maar de verklaring klinkt aannemelijk en ik zie geen reden waarom ze dit opzettelijk zouden doen; ze winnen er immers niets mee.
Dat zou betekenen dat de kwaliteitscontrole en logistiek slecht is. Dus geen HMD meer.
Dus jij gebruikt alleen producten van fabrikanten die nooit een fout maken? Nou ben ik heel nieuwsgierig; welke merken gebruik je dan wel?
Ik denk dat je zaken verwart. Dit heeft niets te maken met het - al dan niet vrijwillig - weggeven van privacy. De Chinese overheid eist dit simpelweg van telefoonmakers. Als je je telefoon in China wil verkopen, dan /moet/ je het telefoonnummer en imei nummer doorgeven. Daar mag je best iets van vinden, en als telefoonboer ook, maar je hebt je er ook simpelweg aan te houden.
Wat ik echter nog steeds part vindt is dit:

[qoute]
De activatiedata voor in Europa verkochte toestellen gaat naar een AWS-server in Singapore, aldus de fabrikant.
[/quote]
Waarom blijft die data niet binnen de EU ?
Waarom geen EU activatie server ?
Wat gebeurt er met de data in singapore ?
"Die software had alleen moeten zitten op Chinese modellen."

Het had helemaal nooit op de EU telefoons mogen zitten. Dus had binnen EU nooit naar een Chinese of Europese server gestuurd moeten worden.
Blijkbaar hoort de informatie normaal gesproken naar Singapore te gaan in het geval van Europese modellen. Dus de software hoort er wel op te zitten. Maar dat hebben ze nu gefixt. Vraag me af of je dit ook kunt weigeren.
Data from global device variants (that are sold e.g. in Europe, US, India) is stored at HMD Global’s servers in Singapore provided by Amazon Web Services. Singapore, as you may already know, follows very strict privacy laws and is fully compliant with the GDPR.

For device variants that are sold in China the proxy is directing traffic directly our servers located in mainland China.
offtopic:
+3 voor deze mening (die nog eens niet klopt ook)? is wel een beetje overdreven, onderbuikgevoel ten top weer


Ik ben het ten volle eens met JustHoLLy. We moeten technische data verzending niet verwarren met commerciële. Je wilt ook graag dat Je salaris netjes en op tijd op je bankrekening wordt gestort en dat je baas niet elke laatste werkdag van de maand komt vragen hoe je je salaris deze maand wilt ontvangen. Dat wil hij overigens ook niet doen want daar komen geheid fouten van.

Nu zeg je, dat bedrijven geen data mogen verwerken die nodig is om te zorgen dat, mensen die jouw bellen ook daadwerkelijk verbinding met je krijgen. Als er nergens een server is die weet, waar jouw toestel is, hoe kan het belsignaal dan worden verzonden.

Dat het nu een keer fout gaat, is natuurlijk bijzonder slordig, dat het dan ook nog eens onversleuteld gebeurde is al echt schandalig en mogelijk ook strafbaar (door een boete), maar laten we de mug de mug laten en er geen olifant van maken door te doen alsof hier sprake zou zijn van datamining en megaspionage.
HMD zorgt er niet voor dat mensen ons kunnen bellen.
Dat centrale register heeft niets met bellen te maken. Meer wie heeft er nu welk toestel en waar in de handen.

De KPN, T-Mobile, etc. (= eigenaren van de GSM masten) zijn degenen die idd. de SIM (Subscriber Identity Module) nummers moeten krijgen. Inclusief IMEI omdat bepaalde toestellen soms een Fix in het protocol nodig hebben ivm implementatie fouten.

Dus Buiten het KPN, T-Mobile, Vodafone etc. is het SIM nummer niet relevant.
Het IMEI nummer is zelfs daar beperkt relevant.
Hoe weet jij wat de Chinese regering al die tijd met deze data gedaan heeft? Het is niet eenmalig, de telefoon geeft keer op keer de locatie van de zendmast door. Gebruikers konden dus getracked worden.

Het is niet slordig, het is onacceptabel. En het is tegen de wet, dus gewoon conform de wet keihard aanpakken zodat bedrijven die 'slordig' zijn het gaan voelen in hun omzet.
Volgens reddit heeft het finse nieuws het ook over de 2,3 en de 5.
Het was een feature, maar nu het echt is uitgekomen vinden de meeste mensen het toch niet leuk, en nu is het een foutje en ging het per ongeluk, en was het alleen voor Chinese modellen :Y) "sarcasme"

Niet zo handig van de fabrikant HMD Global, ach dat is iedereen met een week al weer vergeten, hier woord jammer genoeg niet van geleerd.
Heb zelf een Nokia 6.1 en ik kan de com.qualcomm.qti.autoregistration app nergens terugvinden, for what it's worth (nu heb ik sowieso XPrivacyLua draaien, ook met restrictions op system apps). Misschien dat ie onder een andere naam op oudere/andere devices staat, maar ik heb daar zo 1,2,3 geen informatie over.
Iedere keer dat de telefoon werd 'ingeschakeld', stuurde de software simkaart- en imei-nummers, inclusief de zendmast waarmee de telefoon was verbonden, onversleuteld naar een server in China.
Dus een uniek toestel identificatienummer, de provider die iemand gebruikt, en een (grove) locatie waar de telefoon is. Dat is een best wel serieus lek.
"Als onderdeel van onze audits op het gebied van app-kwaliteit hebben we gezien dat er wat afwijkingen zijn van programmeerpraktijken van goede kwaliteit en onze softwareteams werken aan verbeteringen."
En de gebruikelijke damage control bullshit. Als zij echt audits hebben op app-kwaliteit en dit was gemist, dan vind ik dit toch wel onder grove nalatigheid vallen. Het is niet moeilijk om te testen waar hardware mee probeert te verbinden.

Verder vind ik het ook dubieus dat voor legitieme activatie van toestellen bestemd voor de Westerse markt een server in Singapore wordt gebruikt. Waarom niet iets in de EU?

[Reactie gewijzigd door The Zep Man op 25 maart 2019 07:06]

Vind het ook vreemd dat ze geen server in EU gebruiken.
Als ik het goed lees: door een fout in de code die in een batch van toestellen zat het naar de Chinese servers ging. Dus waarschijnlijk hebben ze gewoon ook EU servers.
Als ik het goed lees:
De activatiedata voor in Europa verkochte toestellen gaat naar een AWS-server in Singapore, aldus de fabrikant.
Nee de data van EU-gebruikers sturen ze naar Singapore volgens het artikel:

"De activatiedata voor in Europa verkochte toestellen gaat naar een AWS-server in Singapore, aldus de fabrikant"
Is er ook een manier om er achter te komen of je toestel in deze "verkeerde" batch zat?
Volgens mij sturen alle Chinese telefoons dit door, is bij wet geregeld in China!
Het klinkt logisch dat hier een foutje is gemaakt omdat het alleen 1 type betreft.
HDM had zelf als eerste naar buiten moeten komen met het nieuws op het moment dat ze het wisten. Het probleem oplossen is niet voldoende. Ze hadden er open over moeten zijn.

Blijkbaar lopen bij die grote ondernemingen nog steeds mensen rond die het met integriteit niet zo nauw nemen.

Fouten maken is menselijk, maar het zwijgen erover moet zwaar gestraft worden.
Denk ook dat het een fout is geweest maar wel heel erg slordig! Als ze er direct open over waren geweest dan had ik het ze vergeven maar dat is helaas niet gebeurd. (ookal heb ik geen producten van ze).

Maakt HMD ook de 4G en 5G apparatuur van Nokia? Want we zitten wel allemaal te janken over huawei maar als HMD ook op de markt zit waarom horen we daar niks over dan?

[Reactie gewijzigd door jordynegen11 op 25 maart 2019 11:14]

HMD is een onafhankelijk bedrijf dat in licentie de Nokia naam mag gebruiken voor telefoons. Nokia ontwikkeld en bouwt zelf netwerkapparatuur. Overigens is HMD een Fins bedrijf met hoofdkantoor naast Nokia in Espoo, Finland.
Alsof onpelus Huawei Vivo Xiaomi niks doorsturen.
installeer blokada v3 (adblocker etc) via f-droid
en je krijgt dit soort verbindingen heel makkelijk inzichtelijk (en geblokkeerd)

mijn conclusie
elke actie die uitvoert geeft een externe verbinding (backtoets, home toets, apps sluiten bijv.

dit is zowel op mijn
sony, xiaomi en samsung

[Reactie gewijzigd door xtrme op 25 maart 2019 09:46]

ja foutje dit is ook nog eens overtreding van GDPR.
Lijkt Google wel
Als het ongevraagd gebeurd idd. Voor dergelijke persoonsgegevens verwerking is toestemming nodig.
Wat er echt heeft gespeeld zullen we waarschijnlijk nooit horen. Net zoals bij vrijwel alle grote bedrijven wordt dat binnenskamers gehouden en wordt er een mooi statement uitgebracht. In dat opzicht vind ik het vrij bijzonder dat er wordt toegegeven dat slordig geschreven code een deel van het probleem is of was. Je zal dat maar hebben geschreven, met de beste intenties of in opdracht, als onderdeel van een project.
Helemaal mee eens JustHoLLy.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True