Wat nou als jailbreaken mijn telefoon juist veiliger maakt?

| AE 6331 | Security | 32 reacties

iphone-unlock-jailbreak.pngEen lezer vroeg me:

De ING heeft in de bankvoorwaarden opgenomen dat gebruikers van een gejailbreakte/geroote smartphone of tablet geen aanspraak kunnen maken om ontvreemd geld terug te krijgen indien ze slachtoffer worden van phishing. Maar mag dat eigenlijk wel?

Het is namelijk zo dat een jailbreak/root op papier meer schade kan berokkenen, omdat er meer aan te passen is, echter, het is veelal de enige weg om een proper security beleid te hanteren. Zo kan Android alleen een WPA2 Enterprise policy toepassen indien het apparaat geroot is. Avast biedt een firewall aan gebruikers van hun mobiele product, mits deze geroot is. iOS heeft ook diverse security features die alleen toepasbaar zijn op een gejailbreakte iOS.

In de wet staat dat de bank aansprakelijk is voor frauduleuze transacties, tenzij de klant grof nalatig is geweest in het gebruik van betaalmiddelen of beveiliging. Eind december hebben de banken strenge regels gesteld om te bepalen wanneer er van zulke grove nalatigheid sprake zou zijn.

De ING-bankvoorwaarden in kwestie zijn de voorwaarden voor het product* Mobiel Bankieren, en die vermelden inderdaad:

9.1 Als u gebruikmaakt van Mobiel Bankieren moet u ervoor zorgen dat het besturingssysteem van uw mobiele telefoon of tablet origineel en actueel is. Controleert u zelf regelmatig of er systeemupdates zijn.

Een gejailbreakte of geroote telefoon is niet “origineel en actueel”, dus dan overtreed je deze eis. En volgens artikel 16 is dat een probleem:

U bent volledig aansprakelijk voor de schade als u zich bij het gebruik van Mobiel Bankieren niet houdt aan deze voorwaarden.

Alleen: voorwaarden kunnen de wet niet opzij zetten, en de wet eist nog steeds die grove nalatigheid. Het is niet automatisch grof nalatig om je telefoon te rooten. Er zit wel een risico aan – een noob die iets hoort over jailbreaken, kan op vage sites gaan kijken en daar rare software binnenhalen die hem kwetsbaar maakt voor allerlei aanvallen. Dát kan grove nalatigheid opleveren. Wie niet weet wat hij doet, is grof nalatig zou ik zeggen. Zeker bij zoiets belangrijks als beveiliging.

Natuurlijk zou een bank kunnen zeggen, er is gejailbreakt dús overtreding regels dús grof nalatig, dag meneer. Zo werkt het wettelijk dus niet, alleen ja wat ga je doen als je bank dan gewoon in de “computer says no” modus blijft zitten?

Toevallig kwam ik deze blog tegen van iemand die mijn analyse uit die eerdere blog de ‘juristenval’ verweet: “de neiging van juristen om de werkelijkheid te zien zoals die door de wet wordt gedefiniëerd.” Wettelijk gezien mag de bank het niet doen, maar ze doen het lekker toch en je geld terugeisen is zó veel gedoe dat het geen zin heeft. In het extreme voorbeeld:

Het hoeft maar een klein beetje mis te gaan of ik zit al lang en breed in de daklozenopvang tegen de tijd dat ik via de rechterlijke weg mijn bank gedwongen heb de schade (deels) te vergoeden.

En tsja, ik kan niet ontkennen dat hij een punt heeft. Je recht krijgen is wat anders dan je recht hebben. En in het algemeen is het als consument heel moeilijk je recht te krijgen. Van je geld terug willen omdat een aankoop niet goed werkt tot een fraude laten herstellen door je bank.

Ik zou alleen niet weten hoe het anders moet. Meer dan uitleggen wat de wet zegt, zodat je een tegenargument hebt en dan hópelijk je bank kunt overtuigen, kan ik niet bedenken. Dreigen met consumentenprogramma’s, het bedrijf te drogen hangen op GeenStijl of Sargasso of rumoer maken zodat er Kamervragen over komen, het kan wel maar het voelt niet per se effectief.

Maar wat dan? De enige echte oplossing is als de banktoezichthouder hier bovenop gaat zitten en de kant van de consument kiest. Of dat de Consumentenbond nu weer om de tafel gaat met de banken. De Bond deed immers mee met het opstellen van die regels, en kan na deze ontstane commotie mooi scoren door de regels consumentvriendelijker op te stellen.

*Overigens erger ik me wezenloos aan de trend om dienstverlening ‘producten’ te noemen. Een product doet pijn als het op je tenen valt. Mobiel Bankieren (of gratis reizen buiten de spits) doet dat niet, dus is het geen product. Punt.

Arnoud