Nokia 7 Plus comunicavano con server cinesi

Alcuni Nokia 7 Plus inviavano dati sensibili a server cinesi: HMD ammette il problema, ma chiarisce che era una falla di sicurezza.
Nokia 7 Plus comunicavano con server cinesi

Se  diversi Nokia 7 Plus comunicavano con server cinesi non è perché HMD Global lo ha voluto. Certo, è colpa dell’azienda perché non si è accorta di una grave falla di sicurezza nel software, ma questa sembra proprio che non fosse intenzionale.

Nokia 7 Plus: i dati trasmessi a China Telecom

Ad accorgersene è stato un utente norvegese, possessore del device incriminato, insospettito dall’insolito traffico dati generato dal suo smartphone. Dopo aver tracciato l’attività, è arrivato al server al quale venivano spediti dati sensibili come i codici IMEI e MAC, le connessioni effettuate ed anche l’identificativo della SIM. Si trattava di un server cinese di proprietà di China Telecom. Inutile sottolineare i forti sospetti che l’attività fosse in realtà organizzata per inviare materiale al governo cinese, ma HMD Global è prontamente intervenuta per chiarire la sua posizione.

L’azienda riconosce che il problema si è realmente verificato, ma ha riguardato esclusivamente un lotto di Nokia 7 Plus ed è stato generato da un malfunzionamento software presumibilmente risolto. Nessun dato sarebbe stato condiviso con il governo cinese. Al momento, il produttore non ha spiegato come mai il server con cui i device comunicavano era – stranamente – di proprietà di China Telecom. DI seguito, la dichiarazione di HMD Global:

Possiamo confermare che nessuna informazione di identificazione personale è stata condivisa con terze parti. Abbiamo analizzato il caso e abbiamo scoperto che il nostro client di attivazione del dispositivo destinato a un altro paese è stato erroneamente incluso nel pacchetto software di un singolo lotto di Nokia 7 Plus. A causa di questo errore, i dispositivi stavano tentando di inviare i dati di attivazione del dispositivo a un server di terze parti. Tuttavia, questi dati non sono mai stati elaborati e nessuna persona avrebbe potuto essere identificata sulla base degli stessi. Questo errore è già stato identificato e risolto a febbraio 2019…Tutti i dispositivi interessati hanno ricevuto questo fix e quasi tutti i lo hanno già installato.
La raccolta di dati di attivazione del dispositivo avviene una tantum quando il telefono viene utilizzato per la prima volta: è una pratica industriale e consente ai produttori di attivare la garanzia del telefono. HMD Global prende sul serio la sicurezza e la privacy dei suoi consumatori.

Pericoli esterni ed interni

Affidiamo allo smartphone la maggior parte dei nostri dati sensibili. Ci preoccupiamo che siano protetti dai pericoli esterni e facciamo ricorso a lettori d’impronte digitali, PIN, riconoscimento facciale (e da poco anche delle vene!), ma siamo più distratti quando si tratta di gestire i pericoli interni: la trasmissione di informazioni personali dal device a server non meglio identificati è una possibilità molto meno remota di quanto si pensi.

Quando questo accade, la colpa potrebbe anche essere nostra perché abbiamo installato un’applicazione da fonti non sicure, ma non è sempre così: può esserci una falla di sicurezza nel software dello smartphone della quale i produttori possono essere o meno a conoscenza. Nel caso di HMD Global, le attività sospette di Nokia 7 Plus sarebbero state generate da un bug non intenzionale, stando a quando dichiarato dall’azienda.

 

Fonte: Slashgear

Ti consigliamo anche

Link copiato negli appunti