Undersøkelser utført av NRK viser at flere Nokia-modeller i det stille har kommunisert med en server eid av et kinesisk IT-selskap.

Oppdatering 22. mars kl. 22:45: Etter NRKs saker om datalekkasjer hos HMD Global, har selskapet publisert en pressemelding som oppklarer noen av spørsmålene vi stilte i denne saken. Les mer »

NRKbeta avslørte torsdag 21. mars at mobiler av typen Nokia 7 Plus har sendt informasjon om brukerne til en kinesisk server. Informasjonen inneholdt blant annet telefonens geografiske posisjon, samt SIM-kortnummer og registreringsnummer. Eier av Nokia-varemerket, HMD Global, vil ikke svare NRKbeta på spørsmål om hvem eier serveren.

HMD Global oppga at kun et begrenset antall telefoner av denne modellen var rammet. Avsløringen gjorde at det finske datatilsynet valgte å starte en etterforskning, og NRKbeta fikk en rekke tips.

En av tipserne, serbiske Milan Kragujević hevder at datalekkasjen har foregått i minst ni måneder, fra en annen modell. Det vil isåfall bety at minst to av Nokias modeller, Nokia 7 Plus og Nokia 2, har sendt personopplysninger til den samme serveren i Kina.

– Jeg oppdaget lignende aktivitet allerede for ni måneder siden. Telefonen var ikke en Nokia 7 Plus, men en billig Nokia 2. Jeg antar at programvaren lastes inn på tilsvarende måte på tvers av modeller, skriver Kragujević i en e-post til NRKbeta.

Han skriver videre at han forsøkte å kontakte HMD Global på Twitter, uten å få respons.

– Jeg burde antagligvis tatt kontakt på e-post, men jeg hadde ingen konkrete beviser om hva som foregikk, og så ingen interesse på Twitter, så jeg droppet hele saken.

I et innlegg på nettsamfunnet Hacker News i juni i fjor skriver Kragujević om hendelsen. Han legger også ved en tekstfil som inneholder alle applikasjoner hans Nokia 2 kom installert med.

En av disse heter autoregistration. Applikasjonen i vår første sak om denne datalekkasjen, bar også navnet autoregistration.

NRKbeta er heldige som har tilgang på en rekke dyktige utvikler-kollegaer i NRK, og torsdag 21. mars gjorde vi undersøkelser av to Nokia-modeller, en Nokia 3 og en Nokia 5. Begge disse modellene hadde en applikasjon med navnet autoregistration installert.

Kontakter kinaregistrert server

Denne applikasjonen har store likheter med den som var installert på Nokia 7 Plus, men ser etter NRKs analyse ikke ut til å være identisk.

NRKbeta har ikke tilgang til applikasjonens kildekode, men vi har dekompilert dens kjørbare kode. Til tross for det ikke gir et fullstendig bilde av hvordan applikasjonen er skrevet, gir det oss muligheten til å analysere hva den gjør.

Foreløpige analyser viser at applikasjonen aktiveres hver gang telefonen slås på, og «abonnerer» på flere hendelser fra telefonen. En av hendelsene er hvorvidt telefonen er tilkoblet nettverk, og hvorvidt alle systemtjenester er klare.

Applikasjonen henter videre inn en rekke data om telefonen, som blant annet hvilken basestasjon telefonen er tilkoblet, telefonens SIM-kortnummer, serienummer, og resten av informasjonen nevnt i den første saken.

Applikasjonen har også referanser til en «innholdstype» som er svært lite brukt, nemlig application/json-encoded . Den samme innholdstypen ble brukt under sendingen av personopplysningene fra Nokia 7 Plus.

Applikasjonen sender en kryptert melding til domenet aps.c2dms.com. NRKbeta har ikke klart å dekryptere informasjonen som sendes, og kjenner derfor ikke innholdet i pakken.

I eierskapsregisteret står foretaket Shanghai Best Oray Information S&T Co., Ltd. (Oray) oppført som innehaver av domenet. Dette foretaket er listet som en spreder av løsepengevirus hos Ransomware Tracker, en nettside som sporer hvilke domener og IP-adresser som bidrar med spredningen av skadevare.

Kilder sier til NRKbeta at Oray leverer programvare for å fjernstyre datamaskiner og mobiltelefoner i bedriftssammenheng, samt andre IT-relaterte tjenester. På sin side for utviklere lister Oray opp store merkevarer innenfor IT-industrien, som blant annet Qualcomm, Cisco og Huawei.

Oppdatering 22. mars kl. 22:45:

HMD Global har i en pressemelding gjort det klart at selskapet Oray er en av deres tjenesteleverandører, og at dataene sendt til dette domenet går til HMDs servere i Singapore.

En leser har også sjekket dette grundig, og skriver at Oray også er domeneleverandør. Det er dermed sannsynlig at HMD Global rett og slett har registrert domenet gjennom Oray, og at dataene går rett til Singapore.

NRKbeta har spurt Shanghai Best Oray Information S&T Co., Ltd. om hvorfor deres server mottar data fra Nokia-telefoner, og vil oppdatere saken hvis de svarer.

HMD Global: Må undersøke før vi kan kommentere ytterligere

NRKbeta har konfrontert HMD Global med at flere telefonmodeller er i kontakt med uanmeldte servere. Vi har stilt en rekke spørsmål, blant annet hvorfor disse telefonene sender pakker til et domene eid av Shanghai Best Oray Information S&T Co., Ltd., og hvorvidt ytterlige telefonmodeller gjør det samme.

HMD Global viser til sin tidligere uttalelse, og skriver til at de gjerne diskuterer saken med relevante finske myndigheter, og også med det norske Datatilsynet hvis de er interessert i det. HMD Global skriver at de tar informasjonen de er forelagt på alvor, og at de må gjennomføre en grundig undersøkelse før de kan kommentere ytterligere.

HMD Globals tidligere uttalelse: