De Nederlandse onderzoeker Jeroen van der Ham zat in de trein en kreeg ineens een berg popups op zijn iPhone, zo opende Ars Technica onlangs. Na een paar minuten resette de telefoon, om vervolgens eindeloos dezelfde cyclus te doorlopen. En niet alleen hij: de hele coupé had er last van. Dat bleek een vervelio met een Flipper Zero te zijn. Vandaar de vraag, hoe strafbaar is dat?
De kern van het probleem was dat de meneer met die Flipper Zero een berg Bluetooth-verbindverzoeken stuurde naar alle iPhones in de wijde omgeving, zo veel dat de telefoons er van crashen. En dat gaat natuurlijk gewoon door na de reboot.
Nou is een Bluetooth-verbindverzoek op zich natuurlijk legaal om te versturen. Alleen hier gaat het niet om een enthousiaste high tech koppelaar of een foute configuratie maar om een bewuste poging apparaten omver te krijgen: de Flipper Extreme firmware op dat apparaatje komt met een knopje “iOS 17 attack”, en dat is wel een duidelijke aanwijzing dat je iets ongewenst gaat doen.
We komen dan in het strafrecht direct uit bij de verstikkingsaanval (art. 138b):
Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.Het maakt bij dit artikel niet uit of je de gegevens op zich mócht versturen (Bluetooth is immers een open protocol op een vrije band), waar het om gaat is of je daarmee een ander het gebruik van een computer belemmert. Als je dat opzettelijk doet en geen bevoegdheid tot dat belemmeren hebt, dan ben je dus strafbaar.
De maximale strafmaat is 2 jaar. Er is echter ook nog een zwaarder artikel, namelijk 161sexies:
Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft:In de praktijk wordt dit artikel gebruikt om DDoS-aanvallers te vervolgen, omdat de strafmaat begint bij zes jaar (gemeen gevaar) tot vijftien jaar (dood als gevolg). Wel zit je dan met het extra criterium van “gemeen gevaar”, oftewel iets waardoor de veiligheid van personen of goederen in het algemeen in gevaar wordt gebracht. Anders gezegd: gevaar, maar niet op voorhand specifiek af te bakenen.
Hier lijkt me dat zeker wel op te gaan: de aard van dit handelen is dat je alle iPhones in de buurt plat wilt gooien, oftewel stoornis daarin wilt veroorzaken. Dus dat dit strafbaar is, staat voor mij wel vast.
Of je een agent de trein in krijgt die dit kan en wil constateren en vervolgens verbaliserend wil optreden, is natuurlijk de volgende vraag. Dus ik zou meer in alternatieve oplossingen zoeken als je met uitpeilen of goed rondkijken de dader aantreft. Een goed gesprek kan natuurlijk ook zeer helpen.
Wat zouden jullie doen?
Arnoud
Bluetooth alleen aanzetten als je het daadwerkelijk gebruikt.
Gelukkig mag je Bluetooth op Android nog wel makkelijke toggelen met een widget.
Dat in tegenstelling tot Wifi of Locatie. Daarvoor moet je via de system interface werken om daar de status te veranderen.
Zo’n widget toggle heb je op de iPhone volgens mij niet (want geen widgets/controle over je homescreen?). Vliegtuigstand zet daar Bluetooth toch ook al niet meer uit?
Op de iPhone kun je vanaf de rechterbovenhoek naar beneden slepen en daar WIFI en /of Bluetooth uitzetten (zelfde plek waar je airplane mode aan/uitzet)
Apple heeft het gefixt in de tussentijd. Notificaties komen niet meer over elkaar heen, zodat je het gemakkelijker kunt negeren of wegvegen.
Bluetooth is toch nodig voor al die airtags™ ? Die worden massaal waardeloos als iedereen zijn bluetooth uitzet.
Wat typisch. Op Ubuntu Touch kan ik alledrie die dingen gewoon vanuit het bovenste menu toggelen.
Zoals voor je smartwatch of koptelefoon die je graag in de trein op hebt?
Dat is geen oplossing natuurlijk
Of hoorapparaatjes, in mijn geval.
Tja, de Flipper Zero is zelf in principe een onschuldig apparaat. I heb Google Bard gevraagd om er meer over te vertellen en wat het doet is luisteren naar radio-signalen in de omgeving om deze op te nemen. En het apparaat kan deze signalen daarna weer gewoon afspelen zodat een bericht keer op keer herhaald wordt en dat legt dan apparaten stil. De Flipper Zero websites geven dan ook aan dat dit apparaat voor test-doeleinden is bedoeld. En eigenlijk is het een eenvoudig zelf te bouwen project voor mensen die een beetje handig zijn met programmeren en de ESP8266 en andere WiFi modules.
Het apparaat verbieden is dan onmogelijk omdat er dan veel knutselaars opeens illegaal bezig zijn! Zelfs ik zou dan in problemen kunnen komen met mijn verzameling ESP-01 modules terwijl ik die juist gebruik als web developer voor allerlei kleine experimentjes.
Maar wat mij opvalt is dat de iPhone kennelijk zo eenvoudig plat te gooien is. Dan is er een knutselaar in het OV bezig met zijn hobby om te zien of hij zijn eigen telefoon kan platleggen en daarbij, mogelijk onbedoeld, ook de telefoons van andere passagiers verstoort. Want dat staat ook in her artikel: “He was blithely working on some kind of app on his Macbook, had his iPhone out himself, connected through USB so he could still work while all around him apple devices were rebooting and he was not even paying attention to what was happening,”
Dat brengt mij tot een interessante discussie. Stel dat ik thuis met mijn ESP-01 bezig ben met allerlei experimentjes, maar deze experimenten verstoren het WiFi verkeer in mijn nabije omgeving. Is dat dan strafbaar? Want ik doe dan gewoon mijn werk en de gehele techniek is gewoon voor openbaar gebruik.
.
.
.
Nou zegt het artikel wel dat je hier “speciale apparatuur” voor nodig hebt, maar die apparatuur kost bij elkaar nog geen twintig euro en dan kun je op je computer lekker bezig met je eigen code te schrijven. Het enige wat de Flippo Zero doet is de techniek vereenvoudigen voor hen met minder ervaring zodat het ook voor “dummies” beschikbaar wordt. Dummies die dus niet beseffen dat je dit niet in het OV moet gaan gebruiken. Hoewel je kunt afvragen hoeveel dummies 200 dollar gaan uitgeven aan een klein apparaat dat je ook zelf kunt bouwen voor 20 tot 40 euro. (Bijvoorbeeld met een Raspberry Pi Zero die voor 4 euro bij AliExpress te koop is!) Hoe dan ook, we weten al vrij lang dat dit een potentiële aanvalsvector kan zijn. Waarom is het nu dan nog steeds een probleem?
Als het apparaatje standaard komt met software om andere telefoons aan te vallen is de verkoop vermoedelijk wel te verbieden. Het doel van het apparaat is dan duidelijk. Als het een generiek apparaat waar standaard geen illegale software aanwezig is dan zal het niet illegaal zijn.
Dit soort acties zijn potentieel gevaarlijk en ik zou het niet gek vinden dat de politie hiervoor de trein in komt en onderzoek verricht.
De reden is dat sommige mensen een telefonische bereikbaarheidsdienst hebben en onbereikbaarheid kan leiden tot schade bij derden. Denk ook aan medisch personeel dat bijvoorbeeld rechtsomkeert moet maken bij het eerstvolgende station.
Daarnaast treedt er mogelijk een verstoring op van de communicatiemiddelen die NS personeel gebruikt en hangt er een risico daarmee samen.
Geen idee waarom iemand dit zou doen, maar de consequenties kunnen dus groot zijn. En dat neemt het OM denk ik zeer serieus.
Hoe zie je dat onderzoek voor je? De politie komt de trein in, fouilleert alle reizigers en neemt alle electronische apparaten in beslag, controleert van alle reizigers de indentiteit en noteert die. Vervolgens moeten al die apparaten worden onderzocht.
Zo’n FlipperZero is nog relatief groot en herkenbaar maar de hardware die gebruikt wordt voor de daadwerkelijke aanval kan je zonder veel probleem verbergen in een usbkey, powerbank of smartwatch.
Dit klinkt als een scriptkiddie die een lesje nodig heeft. Op laten pakken door de politie en een nachtje in de cel. Laat hemaar daarna nog een paar weken werkstraf doen om te beseffen dat zhij fout geweest is. En die Flipper wordt in beslag genomen als “te gevaarlijk speelgoed”.
Als ik moet afgaan op het bericht lijkt dit meer op een delinquent waarvoor een programma als Hack Right bedoeld is dan iemand die er beter van wordt als zhij een paar maanden in de cel zit.
Lijkt een beetje op het (in de non-tech wereld) lucht uit een autoband laten lopen. Je steelt ten slotte niets (die lucht was ook geen eigendom van de autoeigenaar: zhij had het ook maar ‘geleend’ uit de atmosfeer). Dan wordt het de goede werking verstoren in weerwil van een ongeschreven recht in het maatschappelijk verkeer. Oftewel 6:162 BW: de onrechtmatige daad?
Dat is toch gewoon het strafbaar feit van vernieling, in de zin van onbruikbaar maken van de auto?
Wat zouden jullie doen?
Behalve er geen last van hebben? Ik heb een Galaxy S9+ van een paar jaar oud. Helaas geen extern vervangbare battery dus features zoals bluetooth en wireless staan standaard uit. Tevens geen mac os, maar dit soort aanvals vectoren bestaan ongetwijfeld ook voor android.
Als ik wist wie het was, zo ik met die persoon een gesprek hebben. Zelf sleutelen aan je eigern telefoon vindt ik prima. Perfect zelfs, dat soort gesleutel wil ik aanmoedigen. Maar dan wel waar je alleen je eigen telefoon beinvloed. Dus het gesprek zou starten met iets als “Hally. Ik zie dat je $x doed. Leuk! Erg leuk! Maar besef je dat je bereik de hele wagen of meer is? En dat je niet kan zien of er iemand in aan aangrenzende wagen een hataanval heeft!”
En verder tot aan aan mijn eindbestemming heerlijk over details, implementatie enzo doorpraten. Erg interessant. Leuk om mensen het [veilig] te zien ontdekken.
Een agent die wil verbaliseren? Het is een strafbaar feit en daar mag je aangifte van doen. Helemaal als je bewijslast hebt richting een verdachte, dus dit op heterdaad, heb je nog meer.
Met welke bewijsstukken precies wil je je aangifte op het bureau vier dagen later ondersteunen? Een proces-verbaal van een agent ter plaatse lijkt me een heel praktische manier daarvoor, vandaar mijn advies.