Een lezer vroeg me:
Regelmatig worden er malafide browser-extensies in de Chrome Web Store aangetroffen. Ik veronderstel dat in principe dat mijn verantwoordelijkheid is. Maar als ik afga op de “Verified” status die Google na controle geeft, kan ik hen dan wegens nalatigheid aanspreken?Het is juridisch niet geheel duidelijk of je een appstore-aanbieder aansprakelijk kunt houden voor malafide apps. De appstore selecteert of filtert niet welke apps worden opgenomen, en kan daardoor al snel rekenen op de beperkte aansprakelijkheid voor tussenpersonen en platforms (artikel 6 DSA, section 230 in Amerikaanse wetgeving).
Ik weet dat Google elke nieuwe extensie screent, maar kan niet achterhalen hoe grondig en inhoudelijk dat is, gezien men “de meeste inzendingen” binnen 24 uur screent en 90% in drie dagen. Dat voelt kort voor een inhoudelijk menselijk onderzoek. En dat is relevant, want de jurisprudentie trekt een (vage) grens ergens tussen oppervlakkige toetsing en redactioneel goedkeuren.
Er zijn echter extra signalen, met name de “Established Publisher badge” die je van Google krijgt als je als uitgever een “consistent goede reputatie op het gebied van Google-services” hebt. Dat is een uitspraak van Google waar je op mag afgaan als afnemer, ook als de app vervolgens niet inhoudelijk grondig is onderzocht. (En je hoeft niet de kleine lettertjes te lezen wat dit dan precies zou betekenen en wat het voor aansprakelijkheid betekent.)
En ja, ook bij zo’n gevestigde uitgever kan het misgaan. Recent las ik bij Koi Security bijvoorbeeld een geavanceerde aanval waarbij bona fide apps na een paar jaar een update kregen waarmee ze allerlei backdoors en andere malafide functies verkregen. Omdat ze werden vertrouwd, kon die update automatisch en zonder toestemming worden uitgevoerd.
Het grote probleem blijft natuurlijk: toon maar aan wat je schade was. Welk op geld waardeerbaar nadeel heb jij als consument geleden, waarbij je tijd per definitie nul euro kost. Waarbij natuurlijk komt dat je dan óók nog een dure rechtszaak moet voeren.
Dat het ook bij gevestigde uitgevers fout kan gaan (en af en toe fout gaat) lijkt me het wel lastig maken om Google aansprakelijk te stellen wegens zo’n verificatiebadge. Daar hebben ze natuurlijk ook wel over nagedacht. Zo te zien is de enige “garantie” dat een partij tot nu toe betrouwbaar is gebleken. Maar ja, in het verleden behaalde resultaten…
“De appstore selecteert of filtert niet welke apps worden opgenomen”
Zeker weten van wel.
https://developer.chrome.com/docs/webstore/troubleshooting
“This page is provided to help you understand why your extension was rejected or removed from the Chrome Web Store and how you can fix the violation.”
https://developer.chrome.com/docs/webstore/program-policies “The Chrome Web Store is committed to providing a safe and secure environment for users, built on trust and transparency. For these reasons, the Chrome Web Store requires all developers to comply with both the Developer Program Policies listed below, and the Developer Agreement. When your extension is reviewed by Google, these policies act as a guiding principle for those reviews. These policies apply to the entire user experience of your application/extension/theme – including any marketing materials, user generated content, ads, landing pages, etc – unless otherwise noted.”
Er zit volgens Google altijd een mens in de keten
https://developer.chrome.com/docs/webstore/review-process
The review process uses a combination of manual and automated systems. All submissions go through the same review system, regardless of the tenure of the developer or number of active users. However, some signals may cause the reviewer to examine an extension more closely, including:
Die schade is bij de vele blockchain wallets wel eenvoudig aan te tonen. https://tweakers.net/nieuws/228216/criminelen-proberen-cryptovaluta-te-stelen-via-malware-in-populaire-animatietool.html https://news.sophos.com/en-us/2020/04/16/49-malicious-chrome-extensions-caught-pickpocketing-crypto-wallets/?utm_source=chatgpt.com
Wauw, goeie! Inderdaad, als gebrekkige security leidt tot diefstal van je cryptovaluta dan is de waarde (op dag van diefstal) concrete schade die je geleden hebt.
Hmmm, en dan Google 20 miljoen vragen omdat je in 2010 20 bitcoins had?
Het voelt een beetje als een paar briefjes van duizend in het kluisje bij de Media Markt leggen (die met die doorzichtige deurtjes) en dan de winkel aanklagen als het geld weg is.
M.a.w. wat mij betreft is er ook een eigen verantwoordelijkheid en je bitcoins op een apparaat zetten dat veel vreemde software heeft en verbonden is met het internet, is misschien niet zo heel slim. Op zijn minst had je een apart profiel kunnen maken met ALLEEN de Wallet software en voor de rest niks.
Zeker, maar als ik die briefjes van duizend gulden bewaar in een kluis bij een bank (toen banken nog bestonden, net als guldens) dan mag ik wél verwachten dat ze deze goed bewaken toch? Het gaat om de gewekte verwachting, niet wat jij eventueel zelf zou hebben kunnen doen.
Lees ik op tweakers, heeft dit nog enige impact op de aansprakelijkheid?
Niet helemaal duidelijk uit mijn quote maar dat geld dus ook voor officiele play store apps
Ik voorspel dat er meer “supply chain attacks” en “phishing attacks” op geregistreerde Android ontwikkelaars zullen komen.
Met name supply chain attacks zijn interessant omdat een gecorrumpeerde bibliotheek vanuit meerdere gecertificeerde applicaties haar illegale activiteiten kan uitvoeren.