Heb ik recht op een nieuwe laptop als de processor een Meltdown of Spectre heeft?

| AE 10210 | Beveiliging, Webwinkels | 19 reacties

Beveiligingsexperts vonden twee grote bugs in processors, die vrijwel in elke computer ter wereld worden gebruikt. Dat meldde Nu.nl vorige week. De zogeheten Meltdown en Spectre bugs zijn bugs die er voor kunnen zorgen dat hackers toegang krijgen tot het kernelgeheugen van computers, waarmee onder meer wachtwoorden eenvoudig te achterhalen zijn (nou ja, “eenvoudig“). De kwetsbaarheden zitten in de processorchips die het hart vormen van veel moderne laptops, en het maakt dus niet uit of je Windows, Linux of MacOS draait. Aan oplossingen wordt gewerkt, maar ondertussen rijst dan de vraag: wie gaat opdraaien voor de kosten?

In zakelijke verkoopcontracten is het in principe volledig vrij onderhandelbaar wie welke kosten of schade voor zijn rekening neemt. Ik zou dus verwachten dat in een zakelijk leveringscontract voor die processorchips gewoon een uitsluiting voor aansprakelijkheid staat voor bugs als deze, zodat de koper daarvan met de gebakken peren zit nu en zelf op zoek moet gaan naar software-workarounds of nieuwe chips met alle kosten van vervanging van dien.

Bij consumenten kan dat anders liggen. Een consument heeft gewoon recht op een product conform de verwachtingen, en deze “wettelijke garantie” kan niet met kleine lettertjes worden ingeperkt. Als het product niet conform is, dan moet de winkelier (dus niet Intel of AMD maar de MediaMarkt of waar je de laptop maar kocht) het probleem herstellen of je een nieuwe laptop geven.

De vraag bij consumenten is dus, werd hier de verwachtingen geschonden? Of iets preciezer, de tekst uit artikel 7:17 BW:

Een zaak beantwoordt niet aan de overeenkomst indien zij, mede gelet op de aard van de zaak en de mededelingen die de verkoper over de zaak heeft gedaan, niet de eigenschappen bezit die de koper op grond van de overeenkomst mocht verwachten. De koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

Ik verwacht niet dat bij de aanschaf van een laptop iets gezegd is over de aan- of afwezigheid van dit soort diepe bugs in de processoren. Je mag al blij zijn als erbij staat welk processortype erin zit. We zullen het dus moeten hebben van het “eigenschappen voor normaal gebruik” criterium. Is het voor normaal consumentengebruik vereist dat de processor deze bugs niet vertoont? Zo ja, dan maakt de bug de laptop nonconform en moet de verkoper er dus nieuwe chips zónder de bug maar mét dezelfde performance in prikken.

De bug kan worden gebruikt om gevoelige informatie zoals persoonsgegevens of wachtwoorden te stelen. Hij vereist wel dat de stelende software al op je computer staat, en dat is een breder probleem dat bekend is bij consumenten. Daarvan weet (of moet weten) de consument dat hij maatregelen moet nemen, zoals antivirussoftware of een firewall – die ook vandaag de dag vaak standaard op laptops aanwezig is. Mét die maatregelen lijkt de impact van deze bugs voor consumenten me zeer beperkt. Daarom denk ik niet dat je een conformiteitsclaim kunt indienen.

De bug heeft meer impact bij clouddienstverleners, en consumenten maken daar ook vaak gebruik van. Daar is het dus een verhoogd risico: er kunnen nu gegevens worden gestolen of ontoegankelijk gemaakt – datalekken – en dat kan de consument raken. De conformiteitsregel geldt daarbij echter niet, omdat een dienst geen product is. Maar het is wel een wanprestatie van de dienstverlener, zodat je je schade hierdoor kunt verhalen. Mits je deze hard kunt maken natuurlijk.

Arnoud

Groeiende ergernis over niet bijgewerkte apps op Smart TV’s

| AE 9754 | Webwinkels | 50 reacties

Uit een zaterdag gepresenteerde enquête van het tv-programma Kassa blijkt dat meerdere apps het niet meer doen op oudere Smart TVs. Dat meldde Emerce vorige week. Zo werkt bij zo’n 40 procent van de mensen de Youtube-app niet meer, terwijl die televisies pas enkele jaren oud zijn. Samsung meldt desgevraagd niet te gaan over apps die ophun televisieplatform werken. Maar hadden we niet zoiets als wettelijke garantie?

Volgens de wet moeten producten die aan consumenten worden verkocht, voldoen aan de daarbij gewekte (redelijke) verwachtingen. Van een televisie mag je bijvoorbeeld verwachten dat die anno 2017 een HDMI-ingang heeft, en dat de afstandsbediening niet meteen stuk gaat als hij een keer op de grond valt. Ook mag je verwachten dat het apparaat blijft werken gedurende de levenstijd.

Deze conformiteitsregel, ook wel wettelijke garantie genoemd, geldt ook voor standaardsoftware. Dat volgt uit het Beeldbrigade-arrest van de Hoge Raad: wie standaardsoftware verkrijgt tegen een eenmalige vergoeding, heeft deze gekocht in de zin van de wet. Ook al is software niet fysiek. Dat geldt dus ook voor apps, hoewel je kunt twisten over of het een verkoop is als er nul euro wordt betaald.

Het probleem is hier alleen niet zozeer dat de app een bug blijkt te bevatten (wat gratis hersteld moet worden door de winkel) maar dat de app niet meer goed kan communiceren met een derde zoals Youtube of RTL. Vrijwel altijd komt dat omdat die partijen hun API hebben aangepast, of extra regels stellen over wat er wel en niet mag worden opgevraagd. De ontwikkelaars van de app kunnen of willen daar niet altijd aan voldoen.

Is dat nu een schending van de conformiteitsregel? Ik twijfel daar heel erg over. Die app is niet veranderd en het is geen fóut in de app dat Youtube haar API aanpast, dus ik vind het moeilijk te accepteren dat je dan gratis een update moet kunnen verlangen. Ook omdat ik meen dat wat je bij Youtube afneemt een dienst is, en diensten mógen van tijd tot tijd de regels veranderen.

Tegelijkertijd hebben mensen die televisie vaak wel gekocht vanwege de aanwezigheid van die apps. Binnen het segment televisie is het immers een onderscheidend kenmerk, apps op je televisie en dan makkelijk en in televisiekwaliteit Youtube, RTL en wat heb je nog meer kunnen kijken. Vanuit dat perspectief kun je zeggen dat de verwachten niet worden nagekomen. Maar als je die lijn kiest: wat moet je dan, als de dienstaanbieder (zoals Youtube) gewoon zegt dat iets niet meer kan of niet ondersteund wordt zonder OS-upgrade bijvoorbeeld?

Arnoud

Kan ik wat claimen bij een telefoon met WPA2-kwetsbaarheid?

| AE 9752 | Aansprakelijkheid, Beveiliging | 23 reacties

Een lezer vroeg me: Recent werd de Krack-aanval gepubliceerd.

Deze is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien, wat 32% van alle Android apparaten zijn. Als ik nu zo’n apparaat heb, kan ik dan wat claimen bij de verkoper?

De recente attack van Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet maakt het mogelijk om de WPA2-beveiliging van wifi-netwerken aan te vallen. Kort gezegd wordt een key reinstallation attack uitgevoerd, waarbij een aanvaller het slachtoffer dezelfde encryptiesleutel laat gebruiken met nonce-waarden die al in het verleden zijn gebruikt.

De aanval gaf veel ophef door het breed gebruik van WPA2, maar met name bij Android 6 is het een probleem: daar kan een aanvaller de client een voorspelbare “all-zero” encryptiesleutel laten gebruiken, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Heb je dus een telefoon of ander apparaat met Android 6, dan heb je nu een serieus probleem.

Helaas is er nog steeds geen duidelijke wetgeving over de vraag of een apparaat securitytechnisch goed in orde moet zijn. Er zijn wel regels over productveiligheid, maar dat gaat in principe over fysieke veiligheid zoals ontploffingen en giftige stoffen.

De wet is formeel breder: een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur. Je zou dat in theorie ook kunnen toepassen op ICT-veiligheid, maar het is nog nooit geprobeerd.

Daarnaast is er nog de algemene regel van conformiteit: een product moet aan de redelijkerwijs gewekte verwachtingen voldoen, en zo niet dan moet de winkelier dat gratis oplossen of een vervangend apparaat verzorgen. Je moet dan verdedigen dat een onveilige WPA2-implementatie die verwachtingen schendt. Ik zie dat wel een heel eind: WPA2 werd altijd als de veiligste optie geadverteerd in de media, dus zou je als consument mogen verwachten dat je toestel veilig is als je dat gebruikt.

Dat de aanval zeer geavanceerd is en onverwacht voor iedereen, is daarbij niet relevant. Het risico dat zoiets gebeurt, ligt bij de winkel die het product verkoopt. (En die kan het verhalen op die importeur of fabrikant.)

Het enige tegenargument dat ik kan bedenken is dat je moet weten dat ieder ICT-product tot op zekere hoge onbetrouwbaar is, omdat aanvallen in de toekomst niet uit te sluiten zijn. Dan is het dus niet redelijk om te verwachten dat je apparaat onhackbaar/onkwetsbaar is. Maar ik vind dat argument specifiek bij deze aanval niet opgaan, juist omdat WPA2 als veilig werd geadverteerd.

Ministers stelt ontwikkelaars aansprakelijk voor softwarefouten

| AE 9502 | Aansprakelijkheid, Software | 23 reacties

Demissionair staatssecretaris Klaas Dijkhoff heeft in een Kamerbrief gezegd zegt dat softwareontwikkelaars op verschillende manieren aansprakelijk zijn voor schade die als gevolg van hun product ontstaat. Dat las ik bij Tweakers. Juridisch gezien zegt hij weinig nieuws; de regels over conformiteit bij producten bevatten immers geen uitzondering voor de software-delen van producten. Nieuw is wel… Lees verder

Nee, bij een kapotte telefoon moet je echt een volledig nieuwe terugkrijgen

| AE 9398 | Webwinkels | 38 reacties

Apple moet een klant een écht nieuw toestel leveren en geen exemplaar met mogelijk gebruikte onderdelen ter vervanging van een kapot product. Dat maak ik op uit een recent vonnis van de rechtbank Amsterdam. Sinds het vonnis van vorig jaar mocht Apple geen tweedehandsjes (pardon, ‘refurbished’) meer verstrekken als reparatie van een toestel onhaalbaar bleek…. Lees verder

Kan ik mijn geld terugkrijgen voor die defecten Synology NASsen?

| AE 9276 | Contracten, Webwinkels | 11 reacties

Een lezer vroeg me: Recent is bekend geworden dat de Intel C2000 CPU-serie een fabricagefout bevat waardoor deze na 18 maanden (of later) zomaar kan uitvallen, en systemen met deze CPU niet meer kunnen opstarten. Deze chips zitten onder meer in de Synology NAS die ik heb gekocht voor mijn thuisnetwerk, maar Synology weigert de… Lees verder

Mag ik bij een nonconform Playstation-spel mijn geld terug?

| AE 8922 | Contracten, Webwinkels | 21 reacties

Een vraag via het Kassa-forum: Ik heb een spel gekocht via de Playstation Store en dit spel vertoont heel veel problemen (bugs) die het spel onspeelbaar maken. … Nu heb ik contact opgenomen met Sony en hun stellen dat ik contact op moet met leggen met de 3de partij (Telltalegames) om proberen de probleemen op… Lees verder

Is de winkel aansprakelijk voor een softwareupdate aan mijn telefoon?

| AE 8887 | Aansprakelijkheid, Webwinkels | 9 reacties

Een lezer vroeg me: Ik heb een Sony Z3 Compact. Sinds de (door Sony geleverde) upgrade naar Android 5.1.1 heb ik – en velen met mij – problemen met de GPS module. Kan ik daar de verkoper op aanspreken? Die zegt namelijk dat updates achteraf iets tussen mij en de fabrikant zijn. Maar dit is… Lees verder

Elektronicaboeren schenden consumentenwet met garantiestickers

| AE 8797 | Webwinkels | 7 reacties

Gadgetmakers zoals Sony en Microsoft schenden Amerikaanse garantiewetgeving, las ik (dank) bij Vice. Vrijwel iedereen heeft van die stickertjes: maak dit apparaat niet open, op straffe van verlies van je garantie. Dat blijkt dus onzin volgens Vice, er is dwingend Amerikaans recht die je toestaat je apparaten te openen. En zo is het ook bij… Lees verder