Whoa, mag Samsung die ontploffende Note 7’s op afstand onklaar maken?

| AE 9126 | Informatiemaatschappij | 36 reacties

samsung-note-7-recallSamsung gaat de ontploffende Note 7 toestellen een firmware update geven waarmee de oplaadfunctie uitgeschakeld wordt, meldde The Verge en diverse andere media. Daarmee wil men de laatste bezitters van deze gevaarlijke toestellen dwingen ze in te leveren, of in ieder geval niet meer te gebruiken met alle risico’s van dien.

Het bericht doet raar aan. Hoezo kan Samsung op afstand mijn toestel van een verplichte update voorzien, en wel eentje die ik niet kan weigeren ook? Helemaal als deze vervolgens de firmware zo aanpast dat er niet meer geladen wordt. Nee, ik zou niet weten hoe dat legaal is onder normale omstandigheden. De simpelste reden is al dat de cookiewet verbiedt dat je software pusht naar een apparaat zonder aparte toestemming van de gebruiker (ja, per update dus). En deze update maakt het toestel ook best wel non-conform.

Alleen hier ligt dat wellicht even anders gezien de situatie. Deze toestellen zijn levensgevaarlijk, en ze moeten dus zo snel mogelijk uit de handel. Het is dan ergens niet meer dan logisch dat de fabrikant maatregelen neemt om dat te verzorgen. En een update die de toestellen op deze manier onbruikbaar maakt, is eigenlijk best een slimme ook. Dus ja, ik denk dat het hier wel mag. (Leuk hè, recht? Op iedere regel is wel een uitzondering mogelijk.)

Arnoud

Amerikaanse telecomwaakhond dwingt TP-Link open firmware toe te staan

| AE 8872 | Intellectuele rechten | 15 reacties

tp-link-router-firmwareDe FCC heeft een schikking getroffen met TP-Link van 200.000 dollar omdat verschillende wifi-routers van het bedrijf de radiofrequentieregels van de VS overtraden, las ik bij Tweakers. De routers konden met hoger vermogen zenden dan toegestaan. De schikking komt met een opmerkelijke uitkomst: het bedrijf zal opensourcefirmware toestaan op haar routers, iets dat sowieso vrij zelfzaam is in routerland.

De Amerikaanse toezichthouder FCC had op zeker moment nieuwe regels opgesteld over zenden op de 5 gigahertz-band. Een routermaker mocht ook derden niet meer toestaan op die band uit te zenden. TP-Link koos er voor deze regel na te leven door gewoon het installeren van software van derden onmogelijk te maken.

De FCC fluit TP-Link nu terug: dit gaat te ver, je had er enkel voor moeten zorgen dat die software van derden netjes omgaat met de 5 GHz-band. En om een duidelijk voorbeeld te stellen, wordt er gekozen voor een schikking waarbij TP-Link expliciet het mogelijk zal maken dat derden eigen firmware op mogen gebruiken.

Een uitdaging lijkt me, want TP-Link moet nog steeds wel ervoor waken dat de zendregels niet worden overtreden. Het zendvermogen op de 2,5GHz band mag niet meer zijn dan 100mW, en firmware moet dat niet kunnen aanpassen. De vraag is dus of je wel zinnige firmware kunt maken én dat soort regels kunt bewaken.

Arnoud

Hoe veilig moet een smartphone zijn?

| AE 2225 | Intellectuele rechten, Security | 33 reacties

pleister-patch-reparatie-fix.jpgEen lezer vroeg me:

Al enige jaren verbaas ik mij over het gebrek aan beveiligingsupdates/patches bij embedded systemen. Zo heb ik zelf een op Linux gebaseerde Nokia smartphone. Nu weet ik dat er regelmatig stabiliteits- en veiligheidslekken in Linux en de applicaties daar bovenop worden ontdekt, maar Nokia lijkt zich daar weinig van aan te trekken. Ik krijg namelijk nauwelijks firmware updates. Is een bedrijf niet verplicht om dergelijke updates te backporten als onderdeel van de aankoop van het produkt? Je mag immers verwachten dat het produkt naar behoren en veilig functioneert.

Dat is een goeie vraag, waar ik me ook regelmatig over verbaas. Inderdaad, een product moet aan de overeenkomst beantwoorden, en daarbij geldt dat

de koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

Veiligheid lijkt me bij (embedded) software vandaag de dag wel een eigenschap die voor normaal gebruik nodig is. Je mag niet verwachten dat software foutvrij is, want iedereen weet dat dat niet kan voor de prijs van een smartphone, maar je mag wel verwachten dat fouten van tijd tot tijd worden gerepareerd lijkt me zo.

Niet iedere update of fix voor de originele software is automatisch ook passend voor de embedded software. Deze kan specifiek zijn voor de PC-versie in plaats van het embedded platform, hij kan dingen instabiel maken of eenvoudigweg te groot of complex zijn voor de embedded variant. Ik denk dus niet dat je mag verwachten dat elke security-update doorgevoerd zal worden vanuit de originele software. Maar waar ligt de grens?

Arnoud

Nieuw op Iusmentis: Het verwijderen van simlocks bij mobiele (GSM) telefoons

| AE 440 | Informatiemaatschappij, Iusmentis, Security | 4 reacties

Naar aanleiding van mijn eerste artikel op Macwereld schreef ik dit artikel over simlocks. De simlock van een GSM verwijderen (“unlocken”) is legaal. Sterker nog, een provider is verplicht om na één jaar de telefoon simlock-vrij te maken als de klant daarom vraagt. Firmware hacken mag echter niet. Een mobiele telefoon (GSM) met simlock is… Lees verder

Nieuw op Iusmentis: De (il)legaliteit van modchips

| AE 437 | Intellectuele rechten, Iusmentis, Security | Er zijn nog geen reacties

Modchips die kopieerbeveiligingen in een spelcomputer opheffen of omzeilen, zijn verboden in Nederland. Het is strafbaar om zulke chips te verspreiden of uit winstbejag in bezit te hebben. Met een zogeheten modchip kan de functionaliteit van spelcomputers (consoles) worden aangepast. In principe is het legaal om gekochte apparaten aan te passen, al zal in veel… Lees verder