Nieuwe versie µTorrent levert cryptocoin-miner mee

| AE 7496 | Informatiemaatschappij | 13 reacties

utorrent-installatie-vraagDe populaire BitTorrent-client µTorrent levert met de nieuwste release een cryptocoin-miner mee, meldde Tweakers eerder deze week. En deze zou zich zonder dat apart te vragen installeren, aldus diverse meldingen op het forum van µTorrent. “Een deel van de inkomsten gaat naar filantropische initiatieven”, meldt µTorrent op haar forum. Eh, wacht, wat?

Makers van gratis software zoeken steeds vaker naar alternatieve inkomstenstromen, en het installeren van handige hulpprogrammaatjes (bij gebruikers ook wel bekend als crapware) is dan ook steeds populairder. Speciaal interessant zijn cryptocoin-miners, die op de achtergrond berekeningen staan te doen om virtuele valuta te claimen. Daarmee wordt de rekening voor dat claimen bij de gebruiker gelegd – kosten van stroom en hardware – en de opbrengst gaat naar de softwaremaker. Niet helemaal netjes, om het zacht te zeggen.

Mag dat? Nou nee, niet zonder het apart te vragen. De cookiewet is daar duidelijk in: geen software mag worden geïnstalleerd of geüpdate zonder aparte toestemming van de gebruiker. En nee, dat kan niet in algemene voorwaarden of EULA’s worden afgevangen.

Onduidelijk is hoe dit precies zit bij µTorrent. Wie de software nieuw installeert, krijgt een apart tussenscherm met de vraag of men de wereld wil verbeteren en het aanbod van EpicScale wil aanvaarden. Weliswaar is “Accept offer” de defaultkeuze, maar je moet echt apart op die knop drukken. Dus tenzij je zegt, dit is misleidend want mensen zijn getraind om ja-ja-ja te klikken, lijkt me hier juridisch weinig mis mee. Bij updates echter wordt gemeld dat µTorrent géén toestemming vraagt, en dat maakt het heel wat dubieuzer. Hoewel µTorrent ontkent dat er ooit silent installs plaatsvinden.

In 2013 blogde ik over een vergelijkbare zaak, waarbij de vraag was of dit wellicht iets strafbaars opleverde. Dat dacht – en denk – ik niet. Misschien als er werkelijk grafische kaarten opgeblazen worden bij het rekenen, maar daar is in de µTorrent-zaak geen sprake van.

Arnoud

Lenovo installeert nepcertificaat en malware op nieuwe laptops, mag dat?

| AE 7452 | Security | 36 reacties

mitm-man-in-the-middle-malware-aanval-cybercrimeLenovo injecteert nieuwe laptops met malware, meldde Nu.nl gisteren. Het gaat om de Superfish-software, die advertenties en floepvensters toevoegt aan webpagina’s. En om dat ook bij beveiligde sites te kunnen doen, is een SSL root certificaat geïnstalleerd zodat beveiligd verkeer omgeleid kan worden en Superfish er tussen kan komen met z’n rommel.

Stilletjes adware op iemands computer zetten, is normaal een vorm van binnendringen en bovendien een overtreding van de cookiewet. Die laatste verbiedt immers dat je zonder toestemming data op iemands randapparatuur zet. En dat geldt niet alleen voor tracking cookies, dat geldt voor álle data die niet functioneel is voor de dienst die je wilde afnemen. En Superfishadvertenties bij mijn bankbezoek, nee dank u.

Probleem met dat ‘binnendringen’ is alleen dat de software erop gezet is terwijl de laptop nog eigendom van Lenovo was. En je kunt niet in je eigen PC ‘binnendringen’ in de zin van de strafwet. Dat ze vergaten het te vertellen bij de verkoop, dat levert een oneerlijke handelspraktijk op (weglaten van essentiële informatie) waarmee je de koop ongedaan mag maken, maar aan de strafwet kom je niet.

Aftappen van datacommunicatie dan? Ook daar twijfel ik over. Het aftappen van “gegevens die niet voor hem bestemd zijn” is strafbaar (art. 139c Strafrecht) maar toen KPN een paar jaar terug DPI dataverkeerde DPI’de, werd dat geen overtreding van dit wetsartikel geacht omdat KPN “geen inzicht in de inhoudelijke communicatie” had. Er moet een mens meekijken, en dat gebeurde niet bij KPN – en ook niet bij Superfish.

Maar misschien kan de cookiewet alsnog voor de redding zorgen. Lid 1 heeft het over “via een netwerk” maar lid 2 zegt dat het ook geldt dat je op een andere manier realiseert dat er gegevens kunnen worden uitgelezen of opgeslagen. Ik zou zeggen dat het preïnstalleren van middelen om dat te doen, onder lid 2 valt. Het doorgeven van gegevens door Superfish, maar ook het ontvangen van te tonen advertenties, valt dan onder het “opslaan of uitlezen van gegevens” waarvoor de cookiewet toestemming vereist.

Lenovo heeft nog geen persbericht met PR-gereutel over het waarderen van privacy en het streven naar continue innovatie en verbetering van gebruikservaring uitgegeven. Maar de software is gewoon via het controlepaneel van Windows te deïnstalleren (“VisualDiscovery”). Wie ontdekt ‘m nu ineens op zijn laptop?

Arnoud