Norjalainen NRKBeta-sivusto uutisoi eilen, että suomalaisen HMD Globalin valmistamat Nokia 7 Plus -puhelimet ovat saattaneet lähettää käyttäjätietoja kiinalaisella palvelimelle useita kuukausia. Tänään samainen uutissivusto on paljastanut, että Nokia 7 Plus ei ole todennäköisesti ollut ainoa puhelinmalli, joka on lähettänyt tietoja Kiinaan.
HMD Global reagoi eilen tietoon saman päivän aikana ja kertoi lausunnossaan tutkineensa tapauksen ja todenneet, että mitään henkilöön yhdistettävissä olevia tietoja ei ole jaettu kolmansien osapuolien kanssa. HMD Global kertoi puhelimissa olleen aktivointiohjelmisto, joka oli tarkoitettu käytettäväksi toisessa maassa ja oli virheellisesti mukana yhden puhelinmallin yhden erän ohjelmistopaketissa. Tästä virheestä johtuen puhelin oli yrittänyt lähettää puhelimen aktivointitietoja kolmannen osapuolen palvelimelle.
Vaikka HMD Global on todennut, että tietoturvaongelma on koskenut vain yhtä Nokia-puhelinta, niin tänään NRKBeta-sivusto on julkaissut artikkelin, jossa kerrotaan myös Nokia 2 -puhelimen lähettäneen tietoja. Sivustoon yhteyttä ottanut serbialainen Milan Kragujevićin väittää, että Nokia 2 -malli on lähettänyt tietoja Kiinaan jopa yhdeksän kuukauden ajan.
Aikaisemmin Nokia 7 Plus -puhelimen kohdalla tietojen lähettämisen Kiinaan aiheutti com.evenwell.autoregistration -sovellus, joka oli puhelimessa asennettuna. Kyseinen sovellus lähetti todistetusti tietopaketin laitteesta. Paketti lähetettiin salaamattomana ja se piti sisällänsä käyttäjätietoja. Joka kerta, kun puhelin käynnistettiin, näyttö aktivoitiin tai lukitus avattiin, lähti tietopaketin mukana Kiinan palvelimelle maantieteellinen sijainti, SIM-kortin numero sekä puhelimen sarjanumero.
Nyt tuoreimmassa tapauksessa ei ole juurikaan todisteita, että Nokia 2 olisi todellisuudessa lähettänyt mitään Kiinaan, vaan puhelimesta löytyy edellä mainittu sovellus. On hyvä huomioida, että samainen sovellus löytyy kaikista HMD Globalin Android-puhelimista. Nokia-puhelimien kehitys ja valmistus ovat vahvasti sidoksissa Foxconnin tytäryhtiö FIH Mobileen, joka on HMD Globalin yhteistyökumppani. FIH Mobile kehittää ja valmistaa myös Sharp-merkkisiä Android-puhelimia, joista löytyy pitkälti samanlainen ohjelmisto kuin Nokia-puhelimista, joten myös com.evenwell.autoregistration-sovellus löytyy näistä puhelimista.
Sovellus com.evenwell.autoregistration löytyy Nokia-puhelimista Caivs-nimellä ja sen voi löytää esimerkiksi menämällä Asetukset > Sovellukset ja ilmoitukset > Näytä kaikki sovellukset > Näytä järjestelmä > Caivs. Sovellukseen liitetty yksi osa löytyy myös nimellä com.evenwell.autoregistration.overlay.base.s600ww.
Sovellukseen on liitettynä ainakin Nokia 8 -puhelimen kohdalla palvelinosoitteet https://caivssp-no-ww.c2dms.com sekä https://caivssp-no-cn.c2dms.com. Merkintä ”ww” tarkoittaa osoitteessa worldwide ja toisessa osoitteessa merkintä ”cn” luonnollisesti Kiinaa. Tarkemmin tutkittuna worldwide-palvelinosoite ohjaa Singaporeen ja china-palvelinosoite taasen Kiinaan. Toistaiseksi ei ole kuitenkaan todistettu, että kaikissa puhelimissa com.evenwell.autoregistration-sovellus pääsisi lähettämään tietoja Kiinaan tai Singaporeen.
Verkkotunnus c2dms.com on rekisteröity Shanghai Best Orey Information S&T -yritykselle, joka tarjoaa yritysratkaisuja muun muassa tietokoneiden ja matkapuhelimien etäkäyttöä varten. Mielenkiintoista verkkotunnuksessa on se, että vielä viime vuonna omistus kuului FIH Communication Technology -yritykselle, jonka toimipaikka löytyy Kiinasta ja on käytännössä sama asia kuin FIH Mobile.
Vaikka Nokia 7 Plussan kohdalla ”vaaralliseksi” sovellukseksi todettu com.evenwell.autoregistration löytyy kaikista Nokia-puhelimista, mukaan lukien uudesta Nokia 9 PureView -puhelimesta, niin se ei suoraan tarkoita, että tiedot puhelimesta lähtisivät yhtään mihinkään sovelluksen avulla.
1 Kommentti
Kommentoi
Lisää aiheesta:HMD
Suomalainen HMD julkisti ensimmäiset uutuuspuhelimensa ilman Nokiaa – Tässä ovat HMD Pulse, Pulse+ ja Pulse Pro
Melko ympäripyöreää uutisointia klikkien toivossa..