HMD: doorsturen telefoongegevens Nokia 7 Plus naar server in China was foutje

Het doorsturen van gegevens van Nokia 7 Plus-telefoons in diverse Europese landen naar een server in China was een foutje. Dat claimt fabrikant HMD Global. Die software had alleen moeten zitten op Chinese modellen.

Door dat foutje kwam de code op een batch van toestellen voor de Europese markt de code voor Chinese modellen, claimt HMD Global. Het gaat om een app die de telefoon moest activeren voor het netwerk van China Telecom. De Chinese wet vereist dat het gebeurt op een server in China. Omdat de data niet de juiste parameters had, accepteerde de server de activatie niet en probeerde de telefoon de data steeds opnieuw te sturen, aldus de fabrikant.

De activatiedata voor in Europa verkochte toestellen gaat naar een AWS-server in Singapore, aldus de fabrikant. Bovendien was de code van de activatie-app slordig geschreven, geeft HMD toe, met verwijzingen naar oude apparaten en domeinen. "Als onderdeel van onze audits op het gebied van app-kwaliteit hebben we gezien dat er wat afwijkingen zijn van programmeerpraktijken van goede kwaliteit en onze softwareteams werken aan verbeteringen."

Volgens HMD hebben vrijwel alle getroffen toestellen de update geïnstalleerd die de bug repareert. Die kwam mee met de patchronde van februari. Met de verklaring loopt HMD vooruit op het onderzoek dat loopt in Scandinavië naar de zaak. De Finse gegevensbeschermingsombudsman onderzoekt of HMD hiermee privacyregels heeft overtreden.

Data kwam daarbij terecht op zzhc.vnet.cn, een server die in handen is van China Telecom. Iedere keer dat de telefoon werd 'ingeschakeld', stuurde de software simkaart- en imei-nummers, inclusief de zendmast waarmee de telefoon was verbonden, onversleuteld naar een server in China. De boosdoener bleek een service van chipmaker Qualcomm die draait op de achtergrond: com.qualcomm.qti.autoregistration.apk.