Kan ik wat claimen bij een telefoon met WPA2-kwetsbaarheid?

| AE 9752 | Aansprakelijkheid, Beveiliging | 9 reacties

Een lezer vroeg me: Recent werd de Krack-aanval gepubliceerd.

Deze is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien, wat 32% van alle Android apparaten zijn. Als ik nu zo’n apparaat heb, kan ik dan wat claimen bij de verkoper?

De recente attack van Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet maakt het mogelijk om de WPA2-beveiliging van wifi-netwerken aan te vallen. Kort gezegd wordt een key reinstallation attack uitgevoerd, waarbij een aanvaller het slachtoffer dezelfde encryptiesleutel laat gebruiken met nonce-waarden die al in het verleden zijn gebruikt.

De aanval gaf veel ophef door het breed gebruik van WPA2, maar met name bij Android 6 is het een probleem: daar kan een aanvaller de client een voorspelbare “all-zero” encryptiesleutel laten gebruiken, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Heb je dus een telefoon of ander apparaat met Android 6, dan heb je nu een serieus probleem.

Helaas is er nog steeds geen duidelijke wetgeving over de vraag of een apparaat securitytechnisch goed in orde moet zijn. Er zijn wel regels over productveiligheid, maar dat gaat in principe over fysieke veiligheid zoals ontploffingen en giftige stoffen.

De wet is formeel breder: een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur. Je zou dat in theorie ook kunnen toepassen op ICT-veiligheid, maar het is nog nooit geprobeerd.

Daarnaast is er nog de algemene regel van conformiteit: een product moet aan de redelijkerwijs gewekte verwachtingen voldoen, en zo niet dan moet de winkelier dat gratis oplossen of een vervangend apparaat verzorgen. Je moet dan verdedigen dat een onveilige WPA2-implementatie die verwachtingen schendt. Ik zie dat wel een heel eind: WPA2 werd altijd als de veiligste optie geadverteerd in de media, dus zou je als consument mogen verwachten dat je toestel veilig is als je dat gebruikt.

Dat de aanval zeer geavanceerd is en onverwacht voor iedereen, is daarbij niet relevant. Het risico dat zoiets gebeurt, ligt bij de winkel die het product verkoopt. (En die kan het verhalen op die importeur of fabrikant.)

Het enige tegenargument dat ik kan bedenken is dat je moet weten dat ieder ICT-product tot op zekere hoge onbetrouwbaar is, omdat aanvallen in de toekomst niet uit te sluiten zijn. Dan is het dus niet redelijk om te verwachten dat je apparaat onhackbaar/onkwetsbaar is. Maar ik vind dat argument specifiek bij deze aanval niet opgaan, juist omdat WPA2 als veilig werd geadverteerd.

Is een loot box een verboden kansspel?

| AE 9748 | Webwinkels | 26 reacties

In een online spel iets kopen waarvan je op voorhand niet weet wat er in zit, is dat een kansspel? Die las ik (dank, tipgever) bij Eurogamer. Een loot box heet dat in gamer jargon. Ze zijn de laatste jaren erg populair geworden. Sommige loot boxes geven je daadwerkelijk voordeel, anderen hooguit een cosmetische verbetering van je personage of gameplay. Er is de nodige controverse over, onder meer omdat ze best duur kunnen zijn en je dus fors geld uit kunt geven zonder wat te krijgen. Mag dat dan van de wet?

Volgens de Wet op de kansspelen is sprake van een kansspel wanneer

de aanwijzing der winnaars geschiedt door enige kansbepaling waarop de deelnemers in het algemeen geen overwegende invloed kunnen uitoefenen

Die definitie lijkt mij prima te passen bij zo’n loot box: je hebt nul informatie over de inhoud en nul mogelijkheid om te beïnvloeden wat voor inhoud je gaat krijgen. Het is een gok wat je gaat krijgen dus, en daarmee mag dit in principe alleen als daarvoor vergunning is verleend onder de Wet op de kansspelen.

Als tegenargument zou je kunnen zeggen dat je hier eerder een product koopt waarvan je niet exact weet wat je gaat krijgen. Ik moet nu denken aan mijn Panini-voetbalplaatjes, waar je ook op voorhand niet wist wat er precies in zou zitten. Ik had nooit het idee dat ik daardoor aan een kansspel meedeed. En je hebt natuurlijk ook nog een hoop webwinkels met verrassingspakketten, waarvan ik ook niet zou zeggen dat het kansspelen zijn.

Ik neig er dus naar om dit géén kansspel te noemen, in ieder geval niet als elke loot box je iets van waarde oplevert. Dan ben je nooit echt je geld kwijt maar is het hooguit meer of minder een verrassing wat je koopt. Dat zie ik nog wel als legitiem in een spel, waar immers ook op willekeurige momenten dingen kunnen gebeuren die het spel verrassend beïnvloeden.

Arnoud

Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

| AE 9745 | Privacy | 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud

Mag je in een Tesla met autopilot een telefoon in je hand houden?

| AE 9743 | Strafrecht | 26 reacties

Een tipgever (dank!) wees me op deze tweet van Vincent Evers: Reed met @Tesla autopilot en politie hield me aan. Flinke boete. Rechter hoe lang blijft deze regel? De staandehouding bleek echter niet te zijn geweest vanwege het loslaten van het stuur (wat op een snelweg in principe redelijk risicoloos kan als je de Autopilot… Lees verder

Van wie is de Facebookpagina van een bekende Nederlander?

| AE 9738 | Arbeidsrecht | 59 reacties

“Mijn vorige werkgever zegt: die heb je onderhouden tijdens werktijd, dus die is van ons.” Aldus DJ Giel Beelen in het AD vorige week. De ex-werkgever van de DJ claimt eigenaar te zijn van de Facebookpagina, omdat deze onder werktijd werd onderhouden. Mogelijk een reactie op dat akkefietje vorige week met de ‘gehackte’ muziek. Maar… Lees verder

Mag je stiekem de algemene ledenvergadering filmen?

| AE 9736 | Privacy | 10 reacties

Een lezer vroeg me: Bij de afgelopen algemene ledenvergadering van onze vereniging bleek iemand stiekem beeld- en geluidsopnamen te hebben gemaakt. Toen hij daarop aangesproken werd, verdedigde hij zich met het argument dat hij bewijs wilde verzamelen van wat er werd gezegd, omdat hij de notulen niet vertrouwde. Staat hij in zijn recht? In principe… Lees verder

Mag je de muziek hacken bij je ex-werkgever?

| AE 9730 | Beveiliging | 6 reacties

Radio-dj Giel Beelen heeft het begin van zijn nieuwe ochtendshow aangegrepen voor een opvallende promotiestunt, las ik bij de NOS. Hij ‘hackte’ een plaat die werd gedraaid bij zijn oude werkgever 3FM om reclame te maken voor zijn nieuwe programma. “Ik denk dat we effe van iemand het wachtwoord moeten wijzigen”, concludeert de NOS-opvolger. Dus,… Lees verder

Politie werkt aan Pokémon Go-achtige app voor opsporing gestolen auto’s

| AE 9727 | Strafrecht | 48 reacties

De Nederlandse politie werkt aan een Pokémon Go-achtige app genaamd Automon waarmee burgers kentekens kunnen scannen en punten krijgen voor een ‘hit’. Dat meldde Tweakers onlangs. De app gaat een overlay tonen met informatie uit politieregisters over het al dan niet gestolen zijn van de auto op basis van kenteken. Maar wacht even, mogen burgers… Lees verder