Apple moet encryptie-loper maken van Amerikaanse rechter

| AE 8442 | Innovatie, Regulering | 63 reacties

sleutel-key-encryptie-decryptieIn een rechtszaak waarin FBI eist dat Apple helpt om een iPhone te ontgrendelen, heeft de Amerikaanse overheid een klinkende overwinning behaald. Apple moet speciale software ontwikkelen om het iPhone-kraken te ondersteunen. Dat meldde Webwereld vorige week. De software is aangepaste firmware met als doel een bruteforceaanval op het wachtwoord mogelijk te maken.

De FBI heeft Apples hulp nodig, omdat de iPhone gebruikt is door een schutter in een schietpartij en men hoopt op het toestel bewijs te vergaren. Maar de telefoon is versleuteld, en zonder wachtwoord kom je er dan niet in. Ook Apple niet: er is geen master key of achterdeur ingebouwd.

Men zou natuurlijk het toestel kunnen brute forcen, alleen blokkeert een iPhone na tien pogingen. De eis van de FBI ging dan ook hierover: maak aangepaste firmware die niet na tien pogingen de boel vergrendelt. Zo kan de FBI gewoon alle mogelijke wachtwoorden uitproberen. Opmerkelijk vind ik nog dat de software mag zijn voorzien van een toestelspecifieke koppeling, zodat de FBI dit handige tooltje niet generiek kan inzetten op alle telefoons die ze vanaf nu vinden. Rechter met clue. Uit het bevel:

Apple’s reasonable technical assistance shall accomplish the following three important functions: (1) it will bypass or disable the auto-erase function whether or not it has been enabled; (2) it will enable the FBI to submit passcodes to the SUBJECT DEVICE for testing electronically via the physical device port, Bluetooth, Wi-Fi, or other protocol available on the SUBJECT DEVICE and (3) it will ensure that when the FBI submits passcodes to the SUBJECT DEVICE, software running on the device will not purposefully introduce any additional delay between passcode attempts beyond what is incurred by Apple hardware.

Het is in zoverre een noviteit dat het met versleutelde telefoons nog nooit geprobeerd is. Maar op zich heeft het een basis: de rechter kan nu ook al fabrikanten van apparatuur verplichten mee te werken aan het openen, ontgrendelen en dergelijke daarvan. Punt was alleen altijd dat dat meestal wat makkelijker was; een slotenmaker kan een loper hebben, een autofabrikant weet hoe de motorkap open moet en als dat alles faalt dan is er altijd wel iemand die zijn weg weet met een lasbrander. Het probleem is hier redelijk acuut, omdat er niemand anders is dan Apple die in staat is deze beveiliging te doorbreken.

Dit is dus niet hetzelfde als een achterdeur moeten inbouwen in de encryptie, iets dat de FBI al een hele tijd wil. Het is een tussenoplossing die schippert tussen de belangen van Apple en die van de opsporingsdiensten. Ik ben heel benieuwd of Apple daadwerkelijk met dergelijke software komt.

Arnoud

De iPhone 6 kan onbruikbaar worden door reparatie buiten Apple om

| AE 8417 | Ondernemingsvrijheid | 19 reacties

brick-baksteen-tabletBezitters van een iPhone 6 kunnen te maken krijgen met een foutmelding die de smartphone volledig onbruikbaar maakt, las ik bij Nu.nl. Dat gebeurt als de iPhone is gerepareerd buiten Apple om. Volgens Apple is er niets aan deze fout te doen en moet je een nieuwe iPhone kopen. Bewuste truc of een domme fout waar Apple zelf ook niet uitkomt?

De foutmelding, “error 53“, wordt gegeven als bij een ongeautoriseerde reparatie onderdelen worden vervangen. Hierdoor raakt de vingerafdrukherkenning in de war en stapt het toestel volledig over op een imitatie van een baksteen.

Het gebeurt alleen bij iOS 9, zodat mensen met een eerder gerepareerd toestel dit pas ontdekken na een software-upgrade. En volgens Apple is er niets aan te doen. De reden daarvoor kan ik niet achterhalen, je zou denken dat de fabrikant toch in staat moet zijn om de software te resetten of die vingerafdrukherkenning even uit te schakelen?

De juridische vraag: mag Apple dit laten gebeuren? Je zou zeggen dat een telefoon die een baksteen nadoet, niet meer conform de toegezegde verwachtingen is. Daarmee is de winkel waar je de telefoon kocht, dus verantwoordelijk voor gratis herstel of vervanging.

En nee, “een derde heeft het toestel hersteld” is hier in principe geen geldig antwoord op. Conformiteit vervalt niet als er ongeautoriseerde veranderingen aan je toestel worden verricht – tenzij de verandering zelf de schuld is van het conformiteitsgebrek. Blaast een te krachtige batterij je moederbord op, dan is dat natuurlijk geen fout van de leverancier van de telefoon.

Hier ligt het tricky. Enerzijds lijkt de fout te herleiden tot onderdelen van derden. Mogelijk dat de vingerherkenning iets doet met serienummers van onderdelen, en als die veranderen dan gaathet mis. Anderzijds voelt het onlogisch dat een toestel zó volledig op slot gaat, zeker als je bedenkt dat het bij versie 8 van het besturingssysteem geen ernstig probleem was. Dan ga je toch denken, er is iets in iOS 9 gebeurd waardoor het nu ineens wel een probleem is, en dan zou een fix vanuit Apple toch wel in de rede liggen.

Het komt natuurlijk heel erg over als een truc van Apple om mensen geen reparaties bij derden meer te laten doen. Maar het zou zomaar kunnen dat het bedrijf ook werd verrast door de fout, en oprecht nog even geen snelle fix heeft. Of het ís niet oplosbaar – die vingerafdruksensor werkte inderdaad ergens met serienummers en verslikt zich zo keihard in het nieuwe nummer dat het ding de geest geeft. Wat moet Apple dan? Of is dát dan juist het conformiteitsgebrek? Voldoet een telefoon niet aan de verwachtingen als er geen third-party vervangingshardware in kan?

Arnoud

Apple geeft weduwe niet zomaar toegang tot digitale aankopen echtgenoot

| AE 8357 | Ondernemingsvrijheid | 37 reacties

account-suspended.pngApple wilde een weduwe geen toegang geven tot het account van haar overleden echtgenoot, las ik in de AutomatiseringGids. Zij zou een “court order” naar Californisch recht nodig hebben. Zonder zo’n bevel zou haar de toegang tot alle gezamenlijk aangekochte apps en andere content worden ontzegd. Maar hela, ze waren toch getrouwd?

Ik heb al vaker geblogd over wat er gebeurt met een account bij een online dienst na overlijden. Erf je dat als nabestaande, verdwijnt het van rechtswege of nog iets anders?

Het probleem: de wet regelt dit niet. Een account wordt gezien als gestolde dienstverlening, zeg maar een bioscoopkaartje of factuur. Leuk dat je het hebt, maar het “is” niets, in ieder geval niet een ding dat je op kunt eisen als erfgenaam. Het beste dat je juridisch kunt proberen, is betogen dat er sprake is van contractsovername door de ervende partij, of dat het contract überhaupt altijd al op beider namen stond omdat je nu eenmaal in gemeenschap van goederen was getrouwd.

Niet dat dat in de praktijk nu echt werkt – het script dat bij Apple de reactie “kom maar terug met een court order” produceerde, is daar bewijs van. Het model van een TOS of EULA sluiten is heel simplistisch: één vrijgezel en volstrekt normaal persoon zat achter de computer met een advocaat achter zit, en deze ging na zorgvuldige afweging van belangen en adequaat juridisch advies akkoord voor zichzelf en niemand anders. Alle vragen en klachten die andersoortige personen veronderstellen, komen in het bakje “wat moeten we hiermee” en dat leidt dan al snel tot reacties als die. En wie gaat er dan naar de rechter voor een proefproces?

Uiteraard werkt klagen op internet wel – Apple “zoekt nu een oplossing” aldus de AG, ik weet niet zeker of dat webcare-blaat is of een werkelijke toezegging maar het is in ieder geval iets.

Het handigste lijkt me om eenvoudigweg wachtwoorden te delen met je partner. Oh nee, dat kan helemaal niet want:

Overigens staat de weigering om accounts van overledenen vrij te geven aan derden expliciet in Apples voorwaarden. Wie deze voorwaarden accepteert gaat ermee akkoord dat zijn account niet overdraagbaar is, ook niet op nabestaanden, dat de rechten erop eindigen met zijn dood en dat alle content verwijderd wordt.

Quatsch. Ze kunnen zo veel opschrijven. Dat wil nog niet zeggen dat het rechtsgeldig is. Ik kan in de situatie van een partner of erfgenaam geen enkel redelijk argument bedenken waarom die niet bij het account zou mogen of waarom de content dan wel mag. Dus dat biedt zeker perspectieven voor wie het bij de rechter zou proberen. Maar ja. (Ben ik te cynisch?)

Arnoud

Mag een bedrijf me weigeren omdat ik een Tor exit node draai?

| AE 7503 | Informatiemaatschappij | 25 reacties

Een lezer vroeg me: Als ik de supportpagina’s van Apple (support.apple.com en discussions.apple.com) probeer te benaderen, krijg ik een “Access Denied” foutmelding. Ik vermoed dat dit is omdat ik een Tor exit node draai (zie https://trac.torproject.org/projects/tor/wiki/org/doc/ListOfServicesBlockingTor). Maar mag Apple me nu zomaar support ontzeggen? Ik heb toch een dure iPhone bij ze gekocht! Ik kan… Lees verder

Betaalde iOS-applicaties blijven bruikbaar nadat gebruiker geld terug vraagt

| AE 7334 | Intellectuele rechten, Ondernemingsvrijheid | 19 reacties

Huh. Het is sinds kort mogelijk om tot 14 dagen na aankoop van een iOS-app het betaalde geld terug te krijgen, las ik bij Tweakers. Sinds begin deze maand kun je binnen 14 dagen je app-aankopen bij Apple ongedaan maken en je geld terugkrijgen. Logisch, en dat past ook binnen de Europese consumentenwetgeving, maar die… Lees verder

Overgrote deel apps overdrijft met toestemming vragen

| AE 6971 | Intellectuele rechten, Privacy | 24 reacties

Meer dan 85% van alle apps geven niet eens de meest basale privacyrelevante informatie, zo las ik bij The Register. En een op de drie apps vraagt excessief meer toestemmingen dan ze eigenlijk nodig zouden hebben. Schokkend, maar eigenlijk niet verbazingwekkend. Het onderzoek is van de Global Privacy Enforcement Network (GPEN) waar onder meer de… Lees verder

Mag je discussies over de Hackintosh toestaan?

| AE 6507 | Intellectuele rechten, Security | 27 reacties

Een lezer vroeg me: Op ons computerforum worden wel eens discussies gestart over de Hackintosh, een project om het Mac-besturingssysteem op een PC of laptop draaiende te krijgen. Wij halen die discussies snel weg, omdat dit immers niet mag van Apple. Maar we krijgen daar steeds vaker bezwaren over van gebruikers. Hoe zit het nu,… Lees verder

Gelden de EULA’s van Apple en Microsoft eigenlijk wel bij aanschaf van een nieuwe computer?

| AE 6458 | Informatiemaatschappij | 25 reacties

Een lezer vroeg me: Als ik een MacBook van Apple koop (en die koop omvat de computer zelf inclusief het besturingssysteem), krijg ik de AV van Apple (hun EULA) pas te zien als ik de laptop aanzet. Is dat juridisch wel correct? Je moet toch algemene voorwaarden bij de aankoop ter hand stellen en niet… Lees verder

Ik wil niet in Apples adresboekcloud!

| AE 6108 | Privacy, Security | 18 reacties

Bij ict7 las ik over de nieuwe manier van adresboekbeheer van Apple in hun OS Mavericks: [Het oude adresboek] was veilig, daar kwam geen ander tussen. Maar het nieuwe OS Mavericks heeft die mogelijkheid geschrapt. Nu kunnen adresgegevens en dergelijke alleen nog via iCloud naar een ander apparaat worden overgezet. Dat is natuurlijk niet zonder… Lees verder