Brutte notizie arrivano dalla Norvegia: in base a quanto riporta il sito NRKbeta, sembra proprio che alcuni Nokia 7 Plus siano stati “beccati” a inviare pacchetti di dati personali a un server in Cina, naturalmente senza alcuna autorizzazione.
Secondo quanto riferito, un lettore si è accorto di un traffico insolito sul suo Nokia 7 Plus, notando che lo smartphone spesso contattava un server cinese e inviava un pacchetto dati: ha quindi deciso di controllare e quello che ha trovato non gli è affatto piaciuto.
È infatti risultato che ogni volta che il telefono e lo schermo sono stati accesi, sono stati inviati in Cina la posizione geografica, il numero della SIM e quello di serie del dispositivo. Questo consentirebbe a chi entra in possesso dei dati, o a chiunque riesca a intercettarli, di tenere traccia dei movimenti in tempo reale del telefono.
I dati contenevano anche un URL (vnet.cn), e una breve indagine ha consentito di scoprire il proprietario del dominio: una volta contattato, il China Internet Network Information Center ha riferito che si tratta della nota società di telecomunicazioni China Telecom. Il loro servizio clienti non ha saputo fornire informazioni aggiuntive al riguardo, ma su Gitbhub è stato scoperto qualcosa di interessante.
Il codice Qualcomm che vedete qui in basso (e che potete trovare qui) include una procedura di registrazione molto simile a quella del metodo usato da Nokia 7 Plus: raccoglie dati sul telefono e invia le informazioni nello stesso formato al medesimo server di prima. Il codice, che sembra essere del 2014, si trova nella sottocartella “China Telecom”, accompagnata da altre cartelle con nomi di altri operatori di telecomunicazioni.
Probabile che si tratti di un qualcosa destinato al mercato cinese, accidentalmente distribuito sui Nokia 7 Plus venduti al di fuori di tale Paese, anche se HMD Global ha preferito non confermare o smentire. Il ricercatore di sicurezza Dirk Wetter, che ha avuto modo di indagare sulla questione, sostiene che possa trattarsi di un atto deliberato eseguito da un operatore con accesso ai sistemi interni di Nokia.
Interpellata, HMD Global ha ammesso che un numero non specificato di Nokia 7 Plus ha inviato dati a un server in Cina, ma ha aggiunto di aver inviato un aggiornamento software per correggere l’errore alla fine di febbraio e che nessuno può essere identificato sulla base dei dati in questione. Non ha voluto invece rivelare chi dispone del server e se tutto questo fosse “necessario” per vendere dispositivi in Cina. Ecco un estratto della dichiarazione rilasciata:
“Abbiamo analizzato il caso e possiamo confermare che si è verificato un errore nel processo di packaging del software in un singolo lotto di un modello di telefono, che per errore ha tentato di inviare dati di attivazione a un server esterno. I dati non sono mai stati elaborati e nessuna informazione personale è stata condivisa con terze parti o autorità. Il problema è stato risolto e quasi tutti i dispositivi interessati da questo errore ora hanno installato l’aggiornamento. HMD Global prende sul serio la sicurezza e la privacy dei clienti.“
In Finlandia stanno valutando di aprire un’indagine per la violazione del GDPR, il regolamento generale sulla protezione dei dati: anche il solo trasferimento di dati come indirizzi IP e numero della SIM, considerati dati personali, risulterebbe infatti una trasgressione. Continuate a seguirci perché la questione potrebbe non essere finita qui.