Kupujesz telefon na raty? Operator doda Ci nieusuwalną aplikację do zdalnej kontroli

dodał 8 stycznia 2018 o 22:26 w kategorii Prawo, Wpadki  z tagami:
Kupujesz telefon na raty? Operator doda Ci nieusuwalną aplikację do zdalnej kontroli

Wyobraźcie sobie, że kupiliście wymarzony telefon. Przyjeżdża paczka, uruchamiacie sprzęt, a tu nagle instaluje się oprogramowanie, które prosi o uprawnienia administratora urządzenia i nie da się go w żaden sposób wyłączyć.

Zaczęło się niewinnie. Jeden z naszych Czytelników podczas rozmowy z konsultantem infolinii sieci Plus przedłużył umowę na abonament. Przedłużenie wiązało się z wymianą telefonu, zaproponowano mu Samsunga Galaxy S7. „Była to oferta w nowej taryfie, w systemie ratalnym (abonament oddzielnie, a sprzęt w ratach oddzielnie – razem liczone jako miesięczne zobowiązanie)” – czytamy w mailu, który dotarł na adres redakcji.

Pierwsze połączenie świeżo dostarczonego smartfona z siecią Wi-Fi skutkowało pobraniem aktualizacji. Czytelnikowi wyświetlił się ekran instalacji oprogramowania Samsung Knox Mobile Enrollment. Działał tylko klawisz wyłączenia telefonu, lecz po ponownym włączeniu urządzenia proces instalacji rozpoczynał się od nowa. Nie można było go anulować, a kontynuacja wymagała wyrażenia zgody na pełny dostęp do telefonu.

„W polu instalatora pod nazwą «to urządzenie będzie zarządzane przez» widniała jedynie kropka, a po kliknięciu w link «potrzebujesz pomocy? Skontaktuj się z» widniały fałszywe dane pod postacią nr telefonu: +482212312345 oraz adresu e-mail: pl@pl.pl” – informuje zbulwersowany Czytelnik. Po ostatecznym zainstalowaniu aplikacji dane te można było znaleźć w ustawieniach po wybraniu opcji Informacja o oprogramowaniu, a potem Knox Customization, co widać na zdjęciu poniżej.

Nieprawidłowe dane podmiotu uprawnionego do zdalnej kontroli

Co ciekawe, domena projectinfo.ovh, występująca w „nazwie profilu” faktycznie istnieje i znajduje się w posiadaniu firmy FancyFon, oferującej między innymi rozwiązania do zdalnego zarządzania telefonami, a sam serwer znajduje się w serwerowni OVH. Co jeszcze ciekawsze, domena pl.pl nie należy ani do Samsunga, ani Plusa, ani firmy pośredniczącej, a do… Netii.

Jakby tego było mało, w zakładce Administratorzy urządzenia pojawiły się: Info Device Admin, Knox Customization Configurator oraz Knox Enrollment Service, które, według relacji Czytelnika, dysponowały nieograniczonymi uprawnieniami do wszystkich funkcji. Nie dało się ich wyłączyć ani usunąć. Czytelnika zaniepokoiło też „dziwne pole do wpisania PIN-u podczas każdego restartu telefonu”. Kolejną niedogodnością było wyraźne spowolnienie smartfona.

Czytelnik postanowił działać i zwrócił się o wyjaśnienia zarówno do Polkomtela, operatora sieci Plus, jak i Samsunga, dostawcy budzącego wątpliwości oprogramowania. Kilkanaście telefonicznych połączeń z Biurami Obsługi Klienta obu firm nie przyniosło pożądanych rezultatów. „Otrzymywałem lakoniczne stwierdzenia, że «nikt nie wie, co to za aplikacja» lub że «jest to zwykła aplikacja Samsunga, którą przecież mogę sobie samemu odinstalować» albo że «to jest wirus, który muszę sobie samemu usunąć» (…) byłem lekceważony i zbywany” – podsumowuje swoje wysiłki Czytelnik, odnosząc się zwłaszcza do rozmów z konsultantami Plusa. Próba mailowego kontaktu z operatorem nie dała nic prócz zdawkowej odpowiedzi, którą można sprowadzić do zalecenia, by skontaktował się z producentem oprogramowania.

Przedstawiciele Samsunga najpierw usilnie przekonywali, że „Knox jest nieodłączną częścią składową systemu” w smartfonach tej firmy. Umożliwia m.in. zabezpieczenie danych przed przypadkowym dostępem, a także złośliwym oprogramowaniem, więc nadanie uprawnień administratora „jest z technicznego punktu widzenia wymagane, żeby oprogramowanie to spełniało swoją rolę”. Mieli rację, podobne informacje można znaleźć na oficjalnej stronie usługi. Jednak w tym konkretnym przypadku instalowane rozwiązanie służyło czemu innemu.

Knox Customization Configurator

W końcu nastąpił przełom. Administrator fanpage’a firmy Samsung Polska na Facebooku zweryfikował zgłoszenie Czytelnika i odpowiedział, że telefon zakupiony w systemie ratalnym w sieci Plus „jest nadzorowany przez program Knox Customization Agent do czasu spłacenia ostatniej raty bądź jego wykupu”. Obiecał niezwłoczną korektę niepełnych danych kontaktowych i odesłał do operatora po dodatkowe wyjaśnienia. Informacja ta została potwierdzona mailowo przez innego pracownika Samsunga, który dodał, że sporne oprogramowanie umożliwia zdalną kontrolę nad urządzeniem, w szczególności jego zablokowanie w przypadku braku płatności rat, ponieważ Plus pozostaje właścicielem telefonu do momentu uiszczenia całej kwoty. Coś na zasadzie amerykańskich pożyczkodawców, którzy w kupowanych na kredyt autach montują urządzenia blokujące ich odpalenie w przypadku nieuregulowania raty w terminie.

Przejrzeliśmy polskie fora w poszukiwaniu podobnych zgłoszeń. Z postów, które znaleźliśmy, wynika, że problem występował już w październiku ub.r. Forumowicze zwracali w nich uwagę na oprogramowanie Knox oraz enigmatyczne zapisy w umowach i regulaminach pozwalające na jego instalację. Okazało się, że zapisy te można znaleźć także w dokumentacji zaakceptowanej przez naszego Czytelnika. Ich treść jest następująca:

Polkomtel informuje, iż w oprogramowaniu Urządzenia telekomunikacyjnego dokonano implementacji aplikacji wspierającej komunikację i realizację umowy i umowy ratalnej.

Polkomtel zastrzega sobie prawo własności przedmiotu sprzedaży aż do uiszczenia ceny w całości.

Czytelnik, który odstąpił już od przedłużenia umowy i odesłał Plusowi telefon z niechcianym oprogramowaniem, nie kryje swego oburzenia. Czuje się wprowadzony w błąd, a działania operatora określa jako „proceder nielegalny i niezgodny z prawem oraz zasadami dobrej praktyki”. Podkreśla, że w trakcie telefonicznego przedłużania umowy nie został poinformowany, że na kupowanym przez niego smartfonie zostanie zainstalowane nieusuwalne narzędzie do zdalnej kontroli. Cytowany wyżej zapis regulaminu jest jego zdaniem niewystarczający do zrozumienia istoty sprawy. Duże wątpliwości budzi w nim także praktykowane przez operatora roszczenie sobie prawa do rzeczy po jej sprzedaży. „Nawet jeśli Plus sprzedaje telefony na raty, to są one własnością osoby je nabywającej i tylko ona ma do nich pełne prawo” – uważa Czytelnik.

Knox Enrollment Service

Z punktu widzenia prawnika

O przyjrzenie się zaistniałej sytuacji poprosiliśmy radcę prawnego Tomasza Palaka z Profit Plus, autora bloga tomaszpalak.pl. Jego zdaniem mamy w tej sprawie trzy płaszczyzny działania wobec klienta – kwestię własności telefonu, legalności instalowania aplikacji oraz poinformowania o niej. Każdą warto omówić osobno. W dalszej części komentarza, który otrzymaliśmy już w niedzielę, czytamy:

Przede wszystkim – w sensie prawnym Czytelnik najprawdopodobniej jest tylko posiadaczem telefonu, ale nie jego właścicielem. Przy sprzedaży ratalnej często stosowana jest konstrukcja, w której własność przedmiotu przenoszona jest dopiero w momencie całości ceny – pozwala to sprzedawcom w razie niespłacenia oczekiwać zarówno funduszy, jak i zwrotu rzeczy.

Wzmocnieniem w tym przypadku miała być aplikacja, która umożliwiłaby zdalne zablokowanie telefonu. Jeśli Czytelnik wyraził na to zgodę (zwykle jest to zapis o „implementacji aplikacji wspierającej komunikację i realizację umowy i umowy ratalnej”), to podmiot instalujący może się bronić przed zarzutami niepoinformowania klienta o tym działaniu. Nie wiadomo, jak zadbano o poinformowanie przy telefonicznym przedłużeniu umowy.

Inną sprawą natomiast jest fakt, że informowanie to nie było zbyt widoczne – w dodatku można odnieść wrażenie wręcz zatajania tego faktu w toku odpowiedzi na pytania Czytelnika. Trudno ocenić, czy stopień poinformowania o aplikacji z dostępem do (jak twierdzi Czytelnik) całej treści telefonu był wystarczający – od strony prawnej prawdopodobnie tak, jednak na poziomie „etyki” można mieć wątpliwości. Tym bardziej, że wciąż nie wiadomo, ile i komu aplikacja przekazuje, a Czytelnik nie został poinformowany o swoich prawach w zakresie danych osobowych (wgląd, poprawianie itp.)

Za niedopuszczalne natomiast uznać należy podanie nieprawidłowych danych podmiotu, który będzie uprawniony do wglądu w pełną treść telefonu. Są nią przecież dane osobowe naszych kontaktów i kontrahentów (zwłaszcza w kontekście RODO) czy treści chronione tajemnicą korespondencji czy na przykład prawem do wizerunku. Miejmy nadzieję, że zostanie to zmienione.

Plus i Samsung mówią jednym głosem

Rzetelne przedstawienie sytuacji wymaga skontaktowania się z każdą zainteresowaną stroną, nie omieszkaliśmy więc zadać kilku pytań producentowi aplikacji i operatorowi sieci. Jako pierwszy odpowiedział nam Olaf Krynicki, rzecznik prasowy firmy Samsung Electronics Polska. Przesłany w poniedziałek komentarz nie jest długi, ale potwierdza niektóre ustalenia Czytelnika i wyjaśnia parę szczegółów:

Zadaniem aplikacji „Info” jest odbieranie wysłanych od operatora przypomnień o zaległych płatnościach w przypadku urządzeń zakupionych w programie ratalnym. Operator oraz firma Samsung Electronics Polska nie mają dostępu do danych użytkownika. Operator natomiast może wysłać zdalne polecenie zablokowania dostępu do urządzenia, jeżeli klient przestanie spłacać raty (zachowana zostaje możliwość wykonywania połączeń alarmowych i do BOK operatora). Klient również ma możliwość odinstalowania aplikacji w momencie pełnej spłaty kwoty urządzenia. Jeżeli chodzi o samą aplikację, to nie ma ona wpływu na wydajność telefonu. Raz zainstalowana przechodzi w tryb uśpienia i jest aktywna w momencie odbierania informacji od operatora. Z tego rozwiązania korzysta jedynie tylko jeden operator – PLUS.

Podobnej odpowiedzi udzielił Arkadiusz Majewski, starszy specjalista z Działu Komunikacji Korporacyjnej Polkomtela:

Aplikacja INFO służy komunikacji z klientem, który dokonał zakupu na raty sprzętu firmy Samsung. Ani Plus jako operator, ani firma Samsung, czyli producent urządzenia, nie mamy dostępu do żadnych danych klienta. Jej funkcjonalność to tylko i wyłącznie wyświetlanie komunikatów dotyczących rat i ewentualne zablokowanie urządzenia w przypadku braku spłaty, przy jednoczesnym pozostawieniu możliwości dzwonienia na numery alarmowe oraz do działu windykacji naszej sieci w celu wyjaśnienia sytuacji. Po spłaceniu całości wartości zakupionego urządzenia klientowi nadawane jest uprawnienie do odinstalowania aplikacji. Użytkownik może wówczas ją usunąć lub przywrócić ustawienia fabryczne sprzętu, a aplikacja więcej nie zostanie pobrana. (…) Konsultanci BOK Plusa wiedzą o aplikacji INFO i powinni udzielić prawidłowych wyjaśnień w tym zakresie. Sprawdzimy, czemu tak się nie stało, by wyeliminować tego typu błędy na przyszłość.

Na dowód, że operator przekazuje klientom stosowne informacje o instalowanym oprogramowaniu, przedstawiciel Plusa przywołał zacytowane przez nas wcześniej zapisy regulaminu. Na wszelki wypadek zapytamy Urząd Ochrony Konkurencji i Konsumentów (UOKiK) oraz Urząd Komunikacji Elektronicznej (UKE), czy również ich zdaniem wspomniane zapisy są wystarczające.

Nie da się ukryć, że sytuacja instalowania oprogramowania przejmującego kontrolę nad telefonem mogła zaskoczyć użytkownika. Co ciekawe, wydaje się, że zaskoczyła także pracowników Plusa. Choć wygląda na to, że działanie te znalazły podstawy w zapisach regulaminu, to nie da się ukryć, że mocno zawiodła komunikacja z klientem. Można się też spodziewać, że gdyby klient przed zawarciem umowy był ostrzegany o tym, co znajdzie się na jego telefonie, to mógłby zachować się jak nasz Czytelnik i po prostu udać się do innego operatora.

Uważajcie też przy zakupie telefonów używanych lub z drugiej ręki – możecie dostać niespodziankę gratis…

Jeśli natraficie na podobne praktyki u innych operatorów, to nie wahajcie się dać nam znać – chętnie je zbadamy i opiszemy.

Aktualizacja 2017-01-09 15:00

Firma FancyFon, o której wspomnieliśmy w artykule, przesłała nam swoje stanowisko w sprawie roli, jaką pełni w projekcie Plusa. Publikujemy je w całości:

Firma FancyFon zajmuje się szeroko pojętym zarządzaniem urządzeniami mobilnymi, jesteśmy m.in. producentem sprzedawanego globalnie systemu MDM/EMM FAMOC.

W przypadku projektu, o którym mowa, dostarczyliśmy przygotowaną specjalnie dla Plusa, możliwą do aktywacji aplikację INFO o bardzo ograniczonej funkcjonalności: w razie potrzeby wyświetla na urządzeniu komunikaty o zaległych płatnościach i blokuje je w przypadku niespłacania rat.

Kontaktuję się, bo jest nam bardzo przykro, że użytkownicy telefonów mogli odnieść wrażenie, że naruszono ich prywatność i na ich urządzeniach instalowane jest oprogramowanie, które posiada nieograniczony dostęp do wszystkich funkcji. Chciałabym zapewnić, że aplikacja nie pobiera ani nie przechowuje żadnych danych prywatnych użytkownika.

Jeśli pojawią się jeszcze jakieś pytania, chętnie na nie odpowiemy albo podzielimy się informacjami o tym, czym na co dzień się zajmujemy.