Nokia läcker personuppgifter till Kina

Mobilmärket Nokia gjorde en oväntad comeback efter den misslyckade Windows Phone-satsningen. Med mobilmodellen Nokia 7 Plus fick de till en riktigt fullträff. I somras skrev vi till och med en artikel vid namn ”Nokia är nya Nexus” där vi pratade om vilken succé Nokia gjorde. 7 Plus-mobilens låga pris var tilltalande och framtiden såg lovande ut. Nokia 7 Plus var till och med listad i Googles Android Enterprise Recommended-program (där den för övrigt fortfarande finns tillsammans med flera andra nya Nokia-mobiler).

Gårdagens nyhet från norska NRK var därför mycket tråkig läsning. De rapporterade att Nokia 7 Plus har skickat oväntad trafik till en kinesisk server (kopplad till en domän som ägs av statligt kontrollerade China Telecom). NRK:s granskning visar att Nokia 7 Plus skickade bland annat serienummer och aktuell basstationskoppling till denna server varenda gång mobilen låstes upp. Den informationen skulle potentiellt kunna användas för geografisk spårning av användare.

Mobiler med Nokia-varumärket designas numera av finska HMD Global. I ett svar till NRK erkänner de att en obestämd andel Nokia 7 Plus-mobiler har rapporterat ”aktiveringsdata” till en utländsk server. De säger sig ha rullat ut en uppdatering som åtgärdat dataläckan och att merparten av deras användare har installerat den. HMD Globals officiella uttalande finns publicerat på NRK:s webbplats.

Problemen stoppar tyvärr inte där. Idag rapporterar NRK att fler Nokia-modeller är drabbade och att dataläckan till råga på allt har varit känd i flera månader. Det styrks av ett inlägg i The Hacker News forum från Milan Kragujevic som postades för nio månaders sedan. Den här gången avböjde HMD Global att kommentera NRK:s uppföljningsfrågor i väntan på närmare utredning.

Upphävd rekommendation

Den upptäckta dataläckan är allvarlig oavsett om den läckta datan har missbrukats eller ej. De som designar våra mobiler måste ha bättre koll på vilken mjukvara som förinstalleras. Ifall problemet hade varit isolerat till Nokia 7 Plus hade vi kunnat avfärda händelsen som en enskild incident (något som alltid kan inträffa). NRK:s granskning visar tyvärr på systematiska brister hos HMD Global, något som är betydligt allvarligare.

Nokias nya satsning verkade väldigt lovande. Kombinationen av lågt pris, Android One och Android Enterprise Recommended gjorde Nokias nya modeller till konkurrenskraftiga alternativ till de dyrare Pixel- och Iphone-mobilerna. Det är därför med vi med dystert och ursäktande sinne måste dra tillbaka vår tidigare rekommendation. I väntan på HMD Globals utredning har vi uppdaterat vår förra artikel med information om detta. Anledningen sammanfattas väl av Milan Kragujevic.

I purchased a Nokia phone expecting ”Clean Android experience”, what I got was only skin deep. Below the stock-looking UI there’s a mess of apps that do who knows what, and report to whomever.

Milan Kragujevic

Nokia marknadsförde Nokia 7 Plus med sloganen ”En telefon du kan lita på”. De förde mig (Karl Emil Nikka) och världspressen bakom ljuset. Jag är övertygad om att de inte gjorde det av illvilja och de var troligtvis inte ens medvetna om det. Den eventuella bristande kännedomen gör det hela tyvärr ännu värre.

Nokia har inte gått ut med någon information till slutanvändare än. De har också låtit bli att svara på vår Twitter-fråga angående hur användare kan kontrollera om deras mobiler är drabbade av det integritetskränkande spårningsprogrammet.

Uppdatering 2019-03-23: Nokia har nu gått ut med information om hur Nokia 7 Plus-ägare kan säkerställa att deras mobiler har fått uppdateringen som tar bort den integritetskränkande mjukvaran (tack till Robin von Post för tipset). I samma uttalande avfärdar Nokia påståendena om att fler mobilmodeller varit drabbade som felaktiga rykten. Detta går stick i stäv med NRK:s rapportering och Kragujevics upptäckter.