Según una investigación del medio noruego NRKbeta, algunos Nokia 7 Plus habrían estado mandando información personal de los usuarios a China sin consentimiento de los mismos durante algunos meses. Entre los datos enviados se encontraban el número de la tarjeta SIM y el IMEI. El proceso de envío ocurría cada vez que el móvil se encendía o se desbloqueaba la pantalla.
Fue descubierto por Henrik Austad, un lector del medio que estaba analizando la transferencia de datos del dispositivo. Vio que el teléfono "contactaba con un servidor y enviaba un paquete de datos" sin cifrar con información suficiente para que "el destinatario del paquete, o cualquier persona con acceso al flujo de datos, sigan los movimientos del teléfono en tiempo real". El dominio al que se enviaban los datos (vnet.cn) está registrado a nombre de China Internet Network Information Center, que informaron al medio de que la propietaria del dominio era, en realidad, la operadora China Telecom.
Un lote de un modelo en particular
A través de una "rápida búsqueda en Google", NRKbeta descubrió un código desarrollado por Qualcomm en 2014 y alojado en GitHub cuyo funcionamiento se correspondía a lo que se había detectado en el Nokia 7 Plus. Dicho código estaba en una subcarpeta llamada "China Telecom", aunque se han encontrado directorios con nombres de otros operadores. No se detallan cuáles, pero el medio opina que "es probable que esta sea una aplicación destinada al mercado chino, pero se haya distribuido accidentalmente fuera de las fronteras de China".
Posteriormente, el medio descubrió que Dirk Wetter, investigador de seguridad, había detectado un comportamiento similar en su dispositivo. En un correo, este opina que "no es necesariamente una coincidencia que se haya instalado este paquete, sino que puede haber sido un acto deliberado realizado por un operador con acceso a los sistemas internos de Nokia". El defensor del pueblo finlandés, por su parte, no tenía constancia de este problema y ahora está considerando iniciar una investigación, puesto que se trataría de una violación de la GDPR.
HMD Global, por su parte, ha reconocido el problema y en unas declaraciones al medio afirman haber "analizado el caso" y poder "confirmar que se ha producido un error en el proceso de compilación del software en un solo lote de un modelo de teléfono que, por error, intentó enviar datos a un servidor extranjero". Añaden que "los datos nunca se procesaron y ninguna información personal se compartió con terceros o autoridades".
Aparentemente, la empresa detectó el problema el pasado mes de febrero y lanzaron una actualización para corregirlo. Según HMD Global, la mayoría de sus clientes ya la han instalado. Sin embargo, NRKbeta sentencia que la compañía se ha negado a desvelar quién es el propietario del servidor que recibía los datos o si están obligados a facilitar dicho envío para vender sus teléfonos en China.
Vía | NRKbeta
Ver 10 comentarios