Waarom wordt mijn embedded Android niet geupdate?

| AE 7954 | Ondernemingsvrijheid, Security | 16 reacties

android-open-source.pngEen lezer vroeg me:

Steeds meer apparatuur bevat Android als operating system, en daarvan is bekend dat er van tijd tot tijd gaten in worden ontdekt. Maar die software wordt eigenlijk nooit geupdate. Is dat niet tegen de wet? Hoe kan ik afdwingen dat deze software bijgewerkt wordt?

De wet zegt niets over security of het bijwerken van software. Een gemiste kans bij de wetsupdate van 2014, wat mij betreft. Je moet dus terugvallen op algemene regels en daaruit proberen te beredeneren dat het anno 2015 impliceert dat embedded software moet worden geupdate.

Een hoofdregel uit de wet is dat een product moet voldoen aan de redelijkerwijs gewekte verwachtingen (art. 7:17 BW). Als dat niet zo is, moet de winkelier dat herstellen of een vervangend product verschaffen. Wil je het hiermee rondkrijgen, dan moet je dus aantonen dat je redelijkerwijs mag verwachten dat een product veilig is en/of dat ontdekte gaten

Dat een product veilig is, is helaas nog steeds geen gebruikelijke situatie. (Ik erger me daar al tijden aan.) Bovendien worden gaten ook tijdens de levensduur van het product ontdekt, dus is het denk ik ook niet realistisch te verwachten dat producten binnenkort veilig worden en blijven. Updaten is de enige manier om daaraan tegemoet te komen.

Zijn updates an sich dan een redelijke verwachting? Nou, bij Android wel. Iedereen weet dat Android regelmatig met security- en andere updates komt, dus je mag verwachten dat dat ook bij jouw apparaat gaat gebeuren als gemeld is dat er Android in zit. Die verwachting komt dan mee.

De per 1 januari in werking tredende meldplicht datalekken + beveiligingsplicht gaat daar niets aan veranderen. Die geldt namelijk voor zakelijke partijen die persoonsgegevens van anderen opslaan. Een consument met een Androidapparaat voldoet niet aan die omschrijving en heeft dus niets te maken met die wet. Ook niet als door een gat in zijn OS zijn telefoonboek of ander bestand met persoonsgegevens lekt.

Een praktisch punt is nog wel, kúnnen die apparaten wel eenvoudig geupdate worden? Bij een telefoon lukt dat nog wel, maar bij een simpele dvd-speler zonder netwerkmogelijkheid is dat al wat ingewikkelder. Eisen dat je de firmware moet kunnen flashen is denk ik niet redelijk. Bovendien, als het apparaat geen netwerkmogelijkheid heeft, hoe wordt het dan gehackt van buitenaf?

Arnoud

Deel dit artikel

  1. “Eisen dat je de firmware moet kunnen flashen is denk ik niet redelijk.” Vooral bij je voorbeeld van een DVD speler is dat niet waar. Dat zijn tegenwoordig meestal Blueray spelers en die zijn juist wel te flashen. Encryptie sleutels moeten immers gewijzigd kunnen worden aangezien een apparaat onbruikbaar zou worden als de sleutel lekt en ingetrokken wordt op nieuwe releases. Alle drie mijn BD spelers zijn dan ook te updaten, via het netwerk maar ook via een USB stick.

    • Slecht voorbeeld. Als een sleutel bij een update wordt ingetrokken, dan wordt je apparaat juist minder bruikbaar door een update: je speler weigert dan oude DVDs af te spelen die met die oude sleutel zijn gemaakt.

      Maar het komt inderdaad nogal eens voor dat commerciële bedrijven bij een update, tegen het belang van de consument in, functionaliteit verwijderen, om hun eigen strategische belangen te dienen. En daar erger ik me dan aan.

          • Een sleutel intrekken betekent dat deze door de fabrikanten niet meer worden gebruikt voor het maken van de schijven! (Dit had ik waarschijnlijk even moeten uitleggen)

            BD schijven bevatten een lijst met sleutels en ieder apparaat dat met één van die sleutels werkt kan de schijf afspelen. Als een sleutel wordt ingetrokken en niet meer op nieuwe schijven wordt gebruikt, dan kunnen spelers die die sleutel nodig hebben deze schijven niet meer gebruiken. Dit gebeurt als een sleutel gelekt is en wordt gebruikt om de beveiliging te omzeilen. Flashen van de speler met een nieuwe sleutel die nog wel bruikbaar is houdt alle schijven speelbaar.

            Saillant detail: Ik gebruikte OtherOS op mijn PS3 en had daarom de firmware niet geupdate. Na ongeveer een jaar wilden sommige nieuwe BDs niet afspelen, de sleutel was ingetrokken, andere speelden nog steeds prima. Alle niet werkende schijven waren van … Sony! Buiten geen Playstation Network en geen nieuwe games, vond men het daar dus blijkbaar nodig om de OtherOS gebruikers verder te dwingen tot een update door de console zo nutteloos mogelijk te maken.

  2. Zijn updates an sich dan een redelijke verwachting? Nou, bij Android wel. Iedereen weet dat Android regelmatig met security- en andere updates komt, dus je mag verwachten dat dat ook bij jouw apparaat gaat gebeuren als gemeld is dat er Android in zit. Die verwachting komt dan mee.
    Da’s wel erg makkelijk geredeneerd. Je koopt een hardwareproduct van fabrikant X, daar staat toevallig Android op. Android is van fabrikant G, aangepast op het product door fabrikant X. Wanneer G met een nieuwe versie komt die de aanpassingen van fabrikant X breekt, tot in hoeverre is het dan redelijk om te verwachten dat fabrikant X dit weer oplost?

    Ik zou hier eerder voor een conformiteitsverwachting gaan. Hoeveel jaar na introductie van een product mag je er vanuit gaan dat de fabrikant je veiligheidsupdates levert, aka wat is de levensduur van het product? Dat vind ik een betere insteek dan “je moet het maar regelen omdat jouw upstream leverancier het ook geregeld heeft”. Of het apparaat op Android draait of niet lijkt me compleet irrelevant.

    • Ware het niet dat je veel mensen hun smartphone óók gebruiken voor mobiel bankieren. Het lijkt mij geen fijne gedachte om dat te moeten doen met een apparaat waarvan bekend is dat er makkelijk uit te buiten lekken in zitten en dat er voor deze lekken geen patch is of gaat komen. Je neemt een risico waarbij je er van uit mag gaan dat als het mis gaat dat er dan geld van je rekening verdwijnt. Mijn angst is dan dat de bank elke claim van de hand wijst. ‘Onze logs tonen dat U heeft een onveilig apparaat heeft gebruikt en dat is tegen onze voorwaarden, dus u krijgt geen geld terug.’ Het is om deze reden dat ik niet mobiel bankier met mijn iphone 4 uit 2011. Het ding werkt nog als nieuw en draait op een jailbroken ios 6.1.3. Maar, al zou ik updaten naar de allernieuwste versie dan nog zit ik met ‘slechts’ ios 7. Die vol met ongepatchte bugs zit. Nee, dat gaat ‘m niet worden. Moet ik dan maar een perfect werkende telefoon van nieuw 500€ de vuilnisbak inwerpen? Nee, voor mij geen Apple meer. Maar, wie dan wel?

  3. Eisen dat je de firmware moet kunnen flashen is denk ik niet redelijk. Bovendien, als het apparaat geen netwerkmogelijkheid heeft, hoe wordt het dan gehackt van buitenaf?

    Waarom is alleen hacken van buitenaf relevant? Als ik de volledige controle krijg over iemands Tesla door bijv. het klepje bij het oplaadpunt 3x achter te openen en te sluiten (noem maar iets raars) dan is dat toch net zo erg?

    Verder vroeg ik me af of je een verkoper aansprakelijk kunt stellen als een apparaat door verschillende veiligheidsproblemen gewoon niet meer te gebruiken is na verloop van tijd? (bijv. een tablet die niet te updaten valt)

  4. Bestaan er nog BR spelers zonder netwerk aansluiting? Updaten dmv een USB stick is in mijn visie overigens niet ingewikkelder dan via netwerk. Als je dan een exemplaar hebt zonder netwerk, hoef je je denk ik ook niet druk te maken over beveiliging tegen extern misbruik…

    Ik vind trouwens dat een OS ALTIJD updatable moet zijn. Maakt niet uit op wat voor apparaat. De min of meer gebruikelijke 2 jaar termijn die door veel fabrikanten wordt gehanteerd is te kort. Voor Media toepassingen als DVD, BR en TV maak ik dan ook veel liever gebruik van een mini PC met Linux. Die kun je altijd naar eigen inzicht updaten.

  5. Misschien moet iedereen in de samenleving anders leren denken:

    Je koopt niet een apparaat dat iets kan, maar een functionaliteit, of content. En, oh ja, daar hoort ook een beetje hardware bij, maar die is op zich niet interessant.

    Met zo’n insteek is ‘ik moet updaten om de maximale functionaliteit te behouden’ een stuk logischer.

    Met een auto moet je (wel, je hoeft natuurlijk niets, het is jouw auto, maar toch) regelmatig naar de garage voor onderhoud, zodat de functionaliteit, rijden, zo lang mogelijk in stand blijft. Niemand vindt dat vreemd.

    Waarom zit die gedachte er niet in bij andere apparaten?

    • Die zit er bij de fabrikanten niet in en dat is eigenlijk ook logisch. Ik moest laatst tijdelijk een oude Galaxy S2 gebruiken. Met een nightly van CM 12 liep deze prima! Als alle fabrikanten bleven updaten zou de markt voor telefoons een stuk kleiner worden (en die voor accus groter!)

      Ik vindt het echter niet onredelijk om voor de levensduur van zo’n apparaat security updates te verwachten. En de levensduur is niet 18 maanden of zelfs 2 jaar na introductie, maar een redelijk termijn van minstens 2 jaar (de duur van de meeste contracten) na einde van productie.

  6. Als we er achter komen dat een fysiek product niet meer veilig is, bijvoorbeeld als blijkt dat door het gebruik van een bepaald type schroefje, de kans groot is dat je binnen 5 jaar je nek breekt op een IKEA trapje, dan adverteert men dat op de homepage en in de krant en doet men een terugroepactie. Nu is persoonlijk letsel in veel gevallen erger dan een datalek, maar als de geconstateerde bug dermate ernstig is dat het apparaat hierdoor eigenlijk niet meer functioneert, of zelfs een veiligheidsrisico vormt (je betaalgegevens die lekken? Een hacker die het apparaat kan laten overheaten?), waarom kunnen we dan nu ineens onze schouders ophalen en roepen dat het heel normaal is dat je na 2 jaar toch heus geen softwareupdates hoeft te verwachten op je embedded device?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS