Chipleverancier FTDI saboteert namaakchips met firmwareupdates, mag dat?

| AE 7083 | Hacken, Merken | 46 reacties

ftdi-chip-brick-fakeChipmaker FTDI heeft een geupdate Windowsdriver uitgebracht die klonen van hun chips brickt, oftewel onbruikbaar maakt. Als de driver concludeert dat de chip nep is, verandert hij een fabrieksinstelling in de chip waardoor deze niet meer te lezen is. Dat is best wel vervelend omdat deze chip een van de meest gekloonde ter wereld is in consumentenelektronica en het uitschakelen dus vele onschuldige consumenten treft.

De update aan de Windowsdriver zorgt ervoor dat de productidentifier op nul wordt gezet, waardoor besturingssystemen deze niet meer herkennen nu dat op basis van deze identifier gaat. Deze aanpassing is erg moeilijk te resetten door gewone gebruikers, en als de chip in een apparaatje zoals een router zit dan houdt het vrijwel altijd op voor eindgebruikers.

FTDI zal stellen dat dit pech gehad is, omdat het nu eenmaal niet toegestaan is om chips na te maken. Waarom deze chips nu precies ‘counterfeit’ zijn, is me niet duidelijk. Het meest voor de hand ligt dat er ten onrechte de merknaam van FTDI op staat. En op zich hebben ze dan een punt: het is niet toegestaan te handelen in namaakmerkproducten of deze te gebruiken voor commerciële doeleinden. (Maar als consument zonder winstoogmerk zo’n namaakproduct gebruiken valt buiten de merkenwet.)

Een van de rechten die een merkhouder heeft, is het opeisen van inbreukmakende artikelen zodat hij deze zou kunnen vernietigen of wat hij maar wil (art. 2.21 lid 3 BVIE). Je zou in theorie kunnen zeggen dat bricken van zulke artikelen effectief hetzelfde is als het opeisen en onder een stoomwals gooien. Alleen zit je dan nog met het punt dat hier wel een rechter tussen moet zitten:

De rechter kan bij wijze van schadevergoeding op vordering van de merkhouder bevelen tot de afgifte aan de merkhouder, van de goederen die een inbreuk maken op een merkrecht, alsmede, in passende gevallen, van de materialen en werktuigen die voornamelijk bij de productie van die goederen zijn gebruikt. De rechter kan gelasten dat de afgifte niet plaatsvindt dan tegen een door hem vast te stellen, door de eiser te betalen vergoeding.

Zelfstandig inbreukmakende producten opeisen kan dus niet, dit moet door de rechter goedgekeurd worden. En evenzo mag het bricken van zulke producten niet (als je zegt bricken==opeisen) zonder tussenkomst van de rechter.

Omgekeerd, is het verboden wat FTDI doet? Het voelt als iets onwenselijks, maar een specifiek wetsartikel hiertegen kan ik zo niet bedenken. Je zou van vernieling van computersysteen (art. 161sexies Strafrecht) kunnen spreken maar dat voelt wel wat gezocht. Wellicht dat de cookiewet hier een optie biedt: het is verboden om software via een netwerk te laten installeren zonder toestemming en zonder informatie over wat de software gaat doen. En het lijkt me best relevant te weten dat deze software namaakchips gaat uitschakelen.

Nu staat er natuurlijk iets in de EULA van de driver hiervoor:

Use of the Software as a driver for, or installation of the Software onto, a component that is not a Genuine FTDI Component, including without limitation counterfeit components, MAY IRRETRIEVABLY DAMAGE THAT COMPONENT

maar zoals bij Ars Technica al opgemerkt, niemand die dat zal lezen. En dat is dan een wettelijk probleem: dergelijke informatie moet duidelijk worden aangereikt, en mag niet zijn verstopt in een EULA, privacyverklaring of ander juridisch document.

Ik ben zelf altijd geneigd pas kwade opzet te vermoeden als incompetentie uitgesloten kan worden. Het is denkbaar dat de update dit bricken als een onbedoeld bijeffect heeft, omdat men bij het programmeren alleen rekening hield met het gedrag van de eigen chips. Maar gezien de breed gevoelde woede twijfel ik daar nu toch aan.

Arnoud

Is het strafbaar mijn wachtwoord van online diensten te delen met vrienden?

| AE 7067 | Contracten, Hacken | 22 reacties

login-inloggen-pin-number-nummer-password-wachtwoordEen lezer vroeg me:

Het is vaak tegen de gebruikersvoorwaarden om mijn login gegevens van een digitale dienst zoals een krantenabonnement of streamingdienst met anderen te delen. Maar is het ook strafbaar? En hoe zit het als ik er een vergoeding voor vraag, zodat de ander en ik allebei de helft van het abonnement betalen?

Het is strafbaar om gebruik te maken van een betaaldienst zonder daarvoor te betalen (art. 326c Strafrecht). Het moet dan wel gaan om een “dienst die via telecommunicatie aan het publiek wordt aangeboden”, zoals betaaltelevisie. Gratis parkeren in een (private) parkeergarage valt hier niet onder.

Eis is dat je een technische ingreep pleegt (‘hacken’) of met behulp van valse signalen je toegang verschaft tot die betaaldienst. De vraag is dus of het gebruik van andermans wachtwoord telt als een vals signaal. Ik twijfel daarover, omdat elders (bij computervredebreuk bijvoorbeeld) altijd “valse signalen of een valse sleutel” wordt gebruikt, waarbij het wachtwoord als ‘sleutel’ wordt aangemerkt. Die term is hier weggelaten, is dat dan opzettelijk of niet?

Uit de wetsgeschiedenis blijkt dat het moet gaan om

enig teken dat bij de ontvanger, ongeacht of dit een natuurlijke persoon of een geautomatiseerd werk is, een gevolg bewerkstelligt dat gebaseerd is op (geprogrammeerde) veronderstellingen die onjuist blijken te zijn, terwijl degene die het teken geeft, weet dat hij met dat teken, gegeven die veronderstellingen, dat gevolg uitlokt.

In dit arrest had het gerechtshof in Arnhem er geen moeite mee het bellen vanaf andermans vaste lijn naar een 09xx-nummer (om credits op te waarderen) onder “vals signaal” te rekenen. De redenering was: het gebruiken van een valse sleutel (een identificatiemiddel) levert het geven van een vals signaal op want daardoor denkt de wederpartij dat hij met een ander te maken heeft, in die zaak de eigenaar van de telefoonlijn (waardoor die de rekening krijgt).

In dit geval is de sleutel echt want het wachtwoord hoort bij een normaal, betalend account. Maar het signaal dat je afgeeft is vals in die zin dat je je voordoet als die accounteigenaar in plaats van als een derde. En daarmee is het formeel dus strafbaar om je wachtwoord van zo’n betaaldienst te delen.

Arnoud

Nintendo ‘gijzelt’ Wii U’s totdat nieuwe EULA is aanvaard, mag dat?

| AE 7069 | Contracten | 18 reacties

nintendo-wii-u-eulaWie de nieuwe EULA voor de Nintendo WII U niet wil accepteren, kan het apparaat niet meer gebruiken. Dat meldde de EFF, die het meteen maar apparaatgijzeling noemt. Nintendo heeft onlangs een softwareupdate voor haar spelcomputer uitgebracht en wie deze installeert, krijgt een EULA voor de neus die niet te weigeren is. Pas wanneer je op “Accept” drukt, kun je weer iets doen met de console. Mogen ze dat zomaar doen?

Met enige regelmaat roep ik dat er een wet op de cloud moet komen, maar een wet over de EULA zou misschien ook geen gek idee moeten zijn. Want ja, dit is legaal onder huidig recht en er zijn slechts beperkte escapes voor mensen die geen zin hebben in de nieuwe EULA.

Het idee van algemene voorwaarden – want dat zijn EULA’s, wat er ook in de koptekst staat – is dat je ze als bedrijf eenvoudig kunt invoeren. De klant hoeft ze niet eerst gelezen te hebben, jouw enige verplichting is ze vooraf ter hand te stellen. Op papier in de gewone situatie, en als downloadbare pdf of simpele printbare webpagina in een online situatie. Daar staat tegenover dat als je ze niet juist ter hand stelt, ze niet rechtsgeldig zijn.

Overeenkomsten mag je niet wijzigen, tenzij je afspreekt van wel. En met een simpele clausule in de oude EULA (“Nintendo may change these Terms at any time”) kun je zoiets afspreken. Dit voelt nogal onredelijk, want je kunt zo mensen verlokken met een simpele eerlijke EULA en na drie maanden een verplichte update met een wanstaltig lange en eenzijdige EULA er doorheen rammen. Een specifieke wetsbepaling die dit soort dingen verbiedt, ken ik niet.

We hebben de zogeheten zwarte en grijze lijsten. Daarop staan zaken die per definitie (zwart) of meestal (grijs) onredelijk zijn. Op de zwarte lijst staat een verbod op clausules die “het recht ontneemt de door [het bedrijf] toegezegde prestatie op te eisen”. Dit slaat primair op clausules die zeggen “als we niet willen leveren dan heb je pech en mag je ons niet sue’en” maaar met enige fantasie zou je ook een verplichte “Klik hier om de overeenkomst compleet te wijzigen” hieronder kunnen rekenen. Maar enkel “je moet akkoord gaan met de nieuwe voorwaarden en tot die tijd is je apparaat gegijzeld” valt hier volgens mij niet onder.

Op de grijze lijst staat een verbod om “een prestatie te verschaffen die wezenlijk van de toegezegde prestatie afwijkt”, en ook dat kun je inzetten als de inhoud sterk wijzigt ten opzichte van wat er voorheen mocht. Maar omdat erbij staat “tenzij de wederpartij bevoegd is in dat geval de overeenkomst te ontbinden”, gaat dat hier niet werken: zeg gerust je overeenkomst met Nintendo op hoor. Alleen tsja leuke deurstopper heb je dan.

Meer algemeen geldt dat wanneer je je algemene voorwaarden wijzigt, je dat op dezelfde manier ter hand moet stellen als de originele. Op de screenshot hierboven is te zien dat dát een beetje lastig is met de Nintendo EULA. Dat is een scrollvenster met een Agree-knop, en dat is te weinig. Hoe sla ik dit op? Waar is de pdf? Dát maakt de nieuwe EULA vernietigbaar onder Nederlands recht. Maar dat is snel op te lossen met een “Click to print/e-mail these terms” knopje eronder.

Wat je eigenlijk wilt, is een verbod op het eenzijdig mogen wijzigen van algemene voorwaarden maar dat is ook weer te streng denk ik. Maar wat is dan wel een zinnig compromis? Een verbod op het wijzigen zonder een maand om te lezen en na te denken? Een verplichting de oude voorwaarden te respecteren als bedrijf wanneer men de nieuwe niet wil? Oftewel dat je alleen een nieuwe EULA bij nieuwe features mag invoeren?

Arnoud

Zijn ouders verantwoordelijk voor Facebookgedrag van hun kinderen?

| AE 7063 | Aansprakelijkheid | 12 reacties

Ouders zijn verantwoordelijk voor wat hun kinderen op Facebook doen, las ik bij de Wall Street Journal. Dat bleek uit een vonnis van een gerechtshof in de Amerikaanse staat Georgia. Het kind had een ander kind gepest, en de ouders hadden nagelaten in te grijpen terwijl ze wel hadden moeten weten dat dit speelde. Hoe… Lees verder

Mag een school een leerling schorsen wegens installeren van illegale iPadsoftware?

| AE 7058 | Hacken | 33 reacties

Een lezer vroeg me: De vwo-school van mijn zoon heeft iedereen een iPad in bruikleen gegeven. Handig als mijn zoon is, heeft hij er allerlei eigen software op gezet en daarbij kennelijk ‘gehackt’. Hij gebruikt een Chinese appstore en dat mag niet volgens de school. Hij moet nu de iPad binnen 24 uur in originele… Lees verder

Maakt de ‘1’ toets op je telefoon een overeenkomst schriftelijk?

| AE 7051 | Contracten | 21 reacties

Ik had ‘m gemist maar een tijdje terug bleek telecombedrijf Pretium bij TROS Radar in de uitzending te zijn geweest. Pretium ligt onder vuur omdat ze via telefonische acquisitie contracten sluit, en daarbij de schriftelijkheidseis uit de wet voor dat soort contracten creatief invult: druk op de ‘1’ toets op je telefoon om te bevestigen… Lees verder

Mag je met ‘lead forensics’ websitebezoekers opsporen en nabellen?

| AE 7039 | Privacy | 24 reacties

Een lezer vroeg me: Onlang werden wij benaderd door een bedrijf dat “Lead forensics” aanbood. Daarmee kon je heel gedetailleerd (met naam adres en telefoonnummer) zien welke bezoekers er op je site komen, zodat je concreet geïnteresseerden (leads) kon nabellen of mailen als ze direct wat bestelden. Klinkt interessant maar mag dat wel van de… Lees verder

Rijscholenvergelijker wil overheidsalternatief laten verbieden

| AE 7046 | Aansprakelijkheid | 18 reacties

De online rijscholenvergelijker Rijschoolregister.nl is van plan juridische stappen te ondernemen om een soortgelijk project van de overheid, de site Rijscholenkiezer.nl, te verbieden. Dat meldde Nu.nl onlangs. Het overheidsproject werd in september 2013 opgezet, toen Rijschoolregister.nl al ruim een jaar bestond. “We moeten het hier als twee studenten afleggen tegen een project dat 15 miljoen… Lees verder

Is Google Analytics zonder toestemmingspopup legaal onder de nieuwe cookiewet?

| AE 7044 | Privacy | 32 reacties

De Tweede Kamer is dinsdagmiddag akkoord gegaan met een minder strenge cookiewet, meldde onder meer Tweakers. Cookies die geen inbreuk maken op de privacy, zoals first-party analytics en affiliatecookies, zullen legaal worden als dit wetsvoorstel de Eerste Kamer overleeft. Waarbij de hamvraag natuurlijk is: mag dan Google Analytics ineens zonder toestemming te vragen? Al sinds… Lees verder

Inspectie legt boetes op aan Uberpop-chauffeurs in Amsterdam

| AE 7041 | Innovatie | 61 reacties

De Inspectie Leefomgeving en Transport heeft boetes opgelegd aan een viertal chauffeurs die via Uberpop taxiritjes aanboden, meldde Tweakers gisteren. Juridisch niet gek, want taxivervoer aanbieden zonder vergunning is een strafbaar feit. Maar kennelijk wel opmerkelijk omdat de taxi’s via een app zijn geboekt en de chauffeurs ook een account bij de appdienst hebben. Ik… Lees verder