“Google kan op afstand beveiliging smartphones uitzetten”

android-screen-lock-wachtwoord-passwordGoogle kan de schermbeveiliging van een Android-telefoon op afstand uitzetten als een rechter daarom vraagt, las ik bij de NOS. Een Amerikaanse district attorney onthulde dat onlangs. Dit schijnt nieuws te zijn, maar dan toch korte termijn: vanaf binnenkort hebben Androidtoestellen diskencryptie en dan heb je niets aan deze truc.

Het is op zich niet nieuw dat Google als leverancier van een product door Justitie gevraagd wordt dit product open te maken. Dergelijke procedures bestaan nu ook al, van de fabrikant van een brandkast vragen deze open te maken tot een portier vragen aan te wijzen waar kamer 613 zich bevindt.

Wel nieuw (voor mij) is dat Google dit ook op afstand kan. Juridisch lijkt me dat niet erg spannend; een brandkastfabrikant kan ook per telefoon melden wat de stappen zijn om die kluis open te maken, zou ik denken.

Spannender wordt het als we straks verplichte versleuteling hebben in Android (vanaf versie 6.0). Dan kan Google niet meer op afstand de code van het lockscreen wijzigen of toegang verschaffen tot de informatie. Tenzij ze een achterdeur inbouwen, iets dat weer ter discussie gesteld wordt naar aanleiding van Parijs – hoewel die aanslagen niets te maken hadden met sterke encryptie.

Helaas kan ik de tekst niet vinden van dit wetsvoorstel. Maar hoe dan ook, het fundamentele punt blijft: hoe ga je mensen dwingen hun wachtwoord af te geven als ze dat niet willen?

Als alternatief kun je natuurlijk zeggen, dan verplichten we dienstverleners om alleen nog encryptie met achterdeurtjes te bouwen. Dat idee zwerft ook al twintig jaar rond in de politiek, dus dat zal ook wel weer afgestoft worden bij dit soort voorstellen. Waarom mag Joost weten: iedereen snapt toch dat een dergelijk achterdeurtje gekraakt zál worden en dat het dus een heel slecht idee is?

Arnoud

13 reacties

  1. Veel politici worden niet gehinderd door kennis van IT. Nu de angst politiek heerst vrees ik dat een dergelijk slecht idee er een keer doorheenkomt, met alle gevolgen van dien.

    Ik ben banger voor onze eigen politici dan voor de terroristen. Die laatste doen weliswaar vreselijke dingen, maar hun bereik is beperkt. Het effect zit hem vooral in de overtrokken reacties. Zoals die van de dames en heren politici, die helaas wel de mogelijkheid hebben om ons hele land te terrorisren met hun onkunde.

    Of ben ik nu te cynisch?

    1. Ik zou graag willen zeggen dat je te cynisch bent. Helaas deel ik je angst. Politici laten zich terroriseren, en komen te vaak met overtrokken reacties.

      NB: Link voor de bewerking van Arnoud “hoewel die [in Parijs] aanslagen niets te maken hadden met sterke encryptie”: Techdirt – After Endless Demonization Of Encryption, Police Find Paris Attackers Coordinated Via Unencrypted SMS. De mooiste reactie op dat forum:

      Quick, Hurry! We need to quickly ban this SMS technology to prevent the next attack.

      1. Tijd om unencrypted SMS te verbieden! Als terroristen het een keer doen met mobieltjes door te bellen dan maar preventief al het bellen blokkeren/verbieden. En als ze een auto gebruiken alle auto’s verbieden, incl. die van de overheid. Dan wordt het vanzelf een stuk “veiliger”.

        In verband met de aanslagen in New York op 11 september 2001 (?) stel ik ook voor alle vliegtuigen maar te verbieden.

  2. dan verplichten we dienstverleners om alleen nog encryptie met achterdeurtjes te bouwen

    Wat is dat nu weer voor een onzinnige opmerking? Encryptie met achterdeurtjes = geen encryptie. Misschien dat je een bedrijf kan verplichten dit te doen, maar een willekeurig opensource project gaat een hele dikke middelvinger geven als het hiertoe verplicht wordt door wat voor overheid dan ook. Dan kan het in totalitaire dictaturen misschien verboden worden om dat project te gebruiken, maar in een gemiddeld democratisch land is dat ondenkbaar. Een dergelijke verplichting zal net zo effectief zijn als het ‘onbereikbaar maken’ van TPB.

    1. Inderdaad onzinnig, maar het aantal politici in westerse overheden dat dit een goed idee vindt, lijkt steeds dichter naar de 100% te naderen. Op de één of andere manier hebben deze dames en heren zoveel verstand van IT, dat ze denken dat wij programmeurs een magische toverstaf in handen hebben waarmee we kunnen zorgen dat enkel zij toegang hebben tot die achterdeur. Het mag ze best wel eens flink hard onder de neus gewreven worden dat we nu nog soms last hebben van zerodays omdat de US of A precies dat achterdeurtjesbeleid voerde vorige eeuw.

      Een beetje als “we hebben X verboden dus komt het niet voor”.

    2. De kritiek op politici is wellicht terecht, maar op het moment dat er iets gebeurt zoals onlangs in Parijs wijst wel iedereen direct met de vinger beschuldigend naar de overheid en de veiligheidsdiensten. Volgens velen (de pers speelt hier ook een kwalijke rol in) betekent zo’n gebeurtenis per definitie dat er een fout gemaakt is. Bij een willekeurige diefstal of moord wordt zo niet gereageerd. Mensen moeten ook leren dat in een open samenleving dit soort dingen tot op zekere hoogte onvermijdelijk zijn.

      1. Helemaal eens, Wij De Massa wordt flinkt opgehitst en bang gemaakt door kranten en journaals die een uitgelezen kans zien om kijkcijfers te scoren. En de politiek holt daar vrolijk achteraan. Dit is inmiddels zo normaal dat ’t volledig binnen ’t verwachtingspatroon valt.

        Wat óók binnen het verwachtingspatroon valt, zijn de berichten dat de aanslagplegers al lang op de lijsten van de geheime diensten stonden als lieden die zij in de gaten dienden te houden. En ons wordt altijd voorgespiegeld dat de geheime diensten daar héééééél goed in zijn en daar allerlei speciale wetjes en rechtjes voor hebben waar we verder niks van mogen weten want geheim. En toch slagen ze er niet in om een aanslag te voorkomen, zelfs niet als ze -zoals bijvoorbeeld bij de Bostin Bombings – naam en toenaam op een zilveren schaaltje aangereikt krijgen door bevriende geheime diensten van andere landen.

        En als er een aanslag voorkomen wordt, dan is dat doorgaans niet door encryptie te breken, maar door ouderwets veldwerk. Of door een alerte omstander die bereid is zijn leven te geven, zoals bij één van de aanslagen in Beiroet daags voor Parijs.

        Dat alles wringt. Om dan encryptie de schuld te geven, vind ik een zwaktebod.

      2. Gek he? De politici zij er immers verantwoordelijk voor dat onze privacy rechten ondermijnd worden onder het mom van tegen terrorrsime, waarmee ze dus eigenlijk een schijnveiligheid creeeren. Zie het gevalletje Parijs…Hoe heeft dit kunnen gebeuren met alle monitoring hedendaags? Zoals werkbij hieronder al schreef pakken ze de meesten nog met normaal veldwerk en niet dankzij al die data sleepnetten die politici uitwerpen. Het zoeken naar de welbekende speld in de hooiberg wordt hiermee meer het zoeken naar een zandkorrel (die kleiner is dan een speld 😉 ) in de als maar groter wordende hooiberg

        1. Het feit dat ‘Parijs’ niet werd voorkomen wil natuurlijk niet zeggen dat er dus helemaal niets wordt voorkomen dankzij dergelijke methoden die volgens sommigen resulteren in onaanvaardbare privacy schending zoals datasleepnetten etc. Volgens de overheid is dit in ieder geval wel zo.

  3. een brandkastfabrikant kan ook per telefoon melden wat de stappen zijn om die kluis open te maken, zou ik denken.
    Als dat makkelijk kan via de telefoon, kan ik me niet voorstellen dat er nog veel mensen deze brandkast zouden willen aanschaffen (als ze het zouden weten) om hun spullen in te bewaren. Nu ik er over nadenk moet het dan gaan om alleen bescherming tegen brand, hetgeen het woord brandkast misschien impliceert.

  4. Sinds wanneer levert Google een product als ik een Android smartphone van Samsung bij de MediaMarkt koop? In het kader van Microsofts vermeende monopolie-misbruik op PC gebied indertijd werd gesteld dat Microsoft niets verkocht. Dat deden PC-fabrikanten met software in licentie.

    En een achterdeur is gevaarlijk, want te hacken? Maar dan is een manier om op afstand beveiliging te om zeilen toch ook te hacken?

    Toegegeven je moet het apparaat fysiek in handen hebben, en bij een achterdeur hoeft dat niet, maar het feit dat Google zonder toestemming/actie van gebruikers software kan updaten betekent toch dat er al een achterdeur is. En ook die is te hacken., dunkt me. Toestemming geef je wellicht voordat je de telefoon in gebruik neemt, maar heb je dan een keus?

    Tcoh benieuw hoe dat zit met Android AOSP, de open-source basis van Android zonder Google’s proprietary meuk, bijv CyanogenMod zonder Google Apps. Wat kan Google daarmee op afstand?

  5. Google gebruikt een achterdeur niet alleen voor update van hun software in een smartphone, maar staat sowieso in voortdurende verbinding met Google zelf om alles wat je met je telefoon doet te monitoren. Zo gauw als je ook maar een app gebruikt of telefoneert, worden direct achterliggende services van Google actief om je dataverkeer te monitoren. Het is zelfs zo dat de meeste energie van de accu in een smartphone wordt ontrokken voor die achterliggende monitoringprocessen.

    Kijk voor de aardigheid eens bij Systeeminstellingen —-> Applicaties en welke apps actief zijn. Onder Systeeminstellingen —-> Batterij, het onderliggende lijstje aan percentages welke apps hoeveel energie hebben gebruikt. Google Services komen steevast bovenaan met de hoogste percentages. Met een verplicht versleuteld OS, denk maar niet dat Google het verzamelen van datagegevens ineens laat liggen.

    1. Dat is wat anders, Dat Analytics in elke app is ingebouwd, of dat Play-services gebruikt worden voor geo-fencing, dit klopt. Maar die leggen vast wat je doet met een app, of waar je bent. Dat staat wel ergens in de voorwaarden, maar dat is wat anders dan je SD card beschrijven, of bestanden uitlezen (na het stiekem aanpassen van software).

      Waarom denk je dat Android AOSP zo weinig gebruikt/aangeraden/gerefereerd wordt? Echt ingewikkeld is CyanogenMod niet, en het is de enige software die wel geupdate wordt.

      Een smartphone verkopen zonder software-updates is toch een ondeugdelijk produkt verkopen? Je mag verwachten dat het ding toch een paar jaar meegaat? En als open-source software en de community hierbij kan helpen dan omarm je dat toch ipv het tegen te werken.

      @Arnoud, kan je geen zaak beginnen bij het zoveelste lek en de zoveelste weigering van een fabrikant om software te updaten. Al die proprietary shit is een beleidskeuze en niet een technische verplichting. Als CyanogenMod een update voor een 3 jaar oude telefoon kan leveren is het toch nalatigheid/wanprestatie als een fabrikant dat niet doet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.