Lenovo installeert nepcertificaat en malware op nieuwe laptops, mag dat?

| AE 7452 | Security | 36 reacties

mitm-man-in-the-middle-malware-aanval-cybercrimeLenovo injecteert nieuwe laptops met malware, meldde Nu.nl gisteren. Het gaat om de Superfish-software, die advertenties en floepvensters toevoegt aan webpagina’s. En om dat ook bij beveiligde sites te kunnen doen, is een SSL root certificaat geïnstalleerd zodat beveiligd verkeer omgeleid kan worden en Superfish er tussen kan komen met z’n rommel.

Stilletjes adware op iemands computer zetten, is normaal een vorm van binnendringen en bovendien een overtreding van de cookiewet. Die laatste verbiedt immers dat je zonder toestemming data op iemands randapparatuur zet. En dat geldt niet alleen voor tracking cookies, dat geldt voor álle data die niet functioneel is voor de dienst die je wilde afnemen. En Superfishadvertenties bij mijn bankbezoek, nee dank u.

Probleem met dat ‘binnendringen’ is alleen dat de software erop gezet is terwijl de laptop nog eigendom van Lenovo was. En je kunt niet in je eigen PC ‘binnendringen’ in de zin van de strafwet. Dat ze vergaten het te vertellen bij de verkoop, dat levert een oneerlijke handelspraktijk op (weglaten van essentiële informatie) waarmee je de koop ongedaan mag maken, maar aan de strafwet kom je niet.

Aftappen van datacommunicatie dan? Ook daar twijfel ik over. Het aftappen van “gegevens die niet voor hem bestemd zijn” is strafbaar (art. 139c Strafrecht) maar toen KPN een paar jaar terug DPI dataverkeerde DPI’de, werd dat geen overtreding van dit wetsartikel geacht omdat KPN “geen inzicht in de inhoudelijke communicatie” had. Er moet een mens meekijken, en dat gebeurde niet bij KPN – en ook niet bij Superfish.

Maar misschien kan de cookiewet alsnog voor de redding zorgen. Lid 1 heeft het over “via een netwerk” maar lid 2 zegt dat het ook geldt dat je op een andere manier realiseert dat er gegevens kunnen worden uitgelezen of opgeslagen. Ik zou zeggen dat het preïnstalleren van middelen om dat te doen, onder lid 2 valt. Het doorgeven van gegevens door Superfish, maar ook het ontvangen van te tonen advertenties, valt dan onder het “opslaan of uitlezen van gegevens” waarvoor de cookiewet toestemming vereist.

Lenovo heeft nog geen persbericht met PR-gereutel over het waarderen van privacy en het streven naar continue innovatie en verbetering van gebruikservaring uitgegeven. Maar de software is gewoon via het controlepaneel van Windows te deïnstalleren (“VisualDiscovery”). Wie ontdekt ‘m nu ineens op zijn laptop?

Arnoud

Maar hij staat dáár!

| AE 5427 | Security | 21 reacties

imac-hij-staat-daarDiverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat achterover want ja die wetgeving mevrouwtje, terwijl de Find My Mac gewoon zegt waar ie staat.

De ophef is in dit geval een tikje onterecht: de locatie die Find My Mac aangeeft, is een flatgebouw en preciezer dan dat is het niet te krijgen. Dus wat móet je dan als politie, de hele flat gaan doorzoeken?

Maar stel, de locatie zou wel precies genoeg zijn. De laptop werd gestolen ergens op het platteland, en de GPS-coördinaten zijn nauwkeurig genoeg om die ene boerderij eruit te pikken die zich tussen de akkers bevindt. Is dat dan bewijs genoeg voor een doorzoeking?

De wet eist een redelijk vermoeden van schuld, en het is de (onafhankelijke) rechter-commissaris die bepaalt of dat vermoeden genoeg onderbouwd is om een doorzoeking van een woning te rechtvaardigen. De afweging komt volgens mij neer op de vraag hoe betrouwbaar die Find My Mac-informatie is. En dan kom je gelijk bij de vraag, hoe weten we dat het wáár is, wat daar staat? Dat dat echt een gestolen laptop is en dat die zich daar bevindt.

Ook een complicatie kan zijn dat de laptop ondertussen doorverkocht is, waarbij de huidige bezitter geheel legaal eigenaar is geworden. Dat is namelijk een kronkel in onze wet: wie te goeder trouw een goed verwerft, wordt daar soms eigenaar van ook als deze eerder gestolen was. Er zijn wel mogelijkheden om als eigenaar je spullen terug te krijgen, maar triviaal zijn die niet. En wat daar met name steekt, is dat meestal de rechter daarover moet beslissen en dat kan rustig een jaar (of meer) duren.

Stel je fiets wordt gestolen en later zie je iemand daarop fietsen. Dan mag je die iemand aanhouden en overdragen aan de politie. Je mag alleen niet de fiets terughalen, want in de tussentijd is hij juridisch bezitter daarvan geworden. En dan is hij rechthebbende (art. 3:119 BW) tenzij jij kunt bewijzen dat het jouw fiets is. Dat zal niet meevallen zo midden op straat. Dus dan gaat de fiets mee naar de politie (als bewijs).

Bij een laptop zou je kunnen zeggen, ik weet het wachtwoord en mijn naam en foto staan bij het account. Dat zou ik wel eens uitgeprobeerd willen zien bij oom agent.

Arnoud

Het verschil tussen garantie en wettelijke garantie (conformiteit)

| AE 2590 | Ondernemingsvrijheid | 78 reacties

laptop-batterij.pngEen lezer vroeg me:

Anderhalf jaar geleden heb ik een HP-laptop gekocht bij een webwinkel. De laptop geeft nu (via een bootscreen) aan dat de accu nodig vervangen moet worden. De winkel geeft aan dat zij slechts 1 jaar garantie geven op de accu en verwijst me naar HP. Maar ik heb toch recht op garantie gedurende de gehele levensduur? Kan ik bij de winkel toch garantie gaan claimen of is dit een verloren zaak?

Regelmatig krijg ik vragen als deze, waarbij ‘garantie’ en ‘recht op een goed product’ als synoniem worden gebruikt. Dat is juridisch niet handig, omdat die twee dingen geheel verschillende betekenissen hebben.

Garantie (art. 7:6a BW) wil zeggen dat de klant mag eisen dat het apparaat doet wat de fabrikant of winkel zegt gedurende de garantietermijn. Een garantie “Werkt 3 jaar probleemloos” betekent dus dat u met elk probleem mag eisen dat het gratis hersteld wordt. “Een jaar garantie op verkleuringen” betekent dat u alleen bij een verkleuring in het eerste jaar herstel/vervanging mag eisen, maar als het doormidden breekt geldt de garantie niet. Garantie kan worden beperkt tot bepaalde aspecten van het product. Een garantie kan zowel door de winkel als door de fabrikant worden verleend, en de klant moet dan die partij aanspreken.

De wet (art. 7:17 BW) zegt dat u recht heeft op een product dat voldoet aan de redelijke verwachtingen. Dit wordt ook wel “wettelijke garantie” genoemd. Dit geldt voor alle aspecten van het product, en een winkel kan dit conformiteitsrecht niet beperken in de voorwaarden. Slijtage hoort bij de redelijke verwachtingen, dus een product dat slijt is geen grond om op grond van de wet te eisen dat men tot herstel of vervang overgaat. Bij een conformiteitsprobleem is altijd de winkel aansprakelijk en niet de fabrikant. (De winkel kan wel de kosten verhalen op de fabrikant.)

Van accu’s is bekend dat hun levensduur al na een jaar achteruit kan gaan. Daarmee is het verminderd laadvermogen geen grond om de wettelijke garantie in te roepen. Een accu die na anderhalf jaar helemáál niet meer werkt, lijkt me echter dan weer onder de maat. Maar ik denk dat dat afhangt van hoe intensief de accu gebruikt wordt.

In ieder geval ligt de bewijslast dat deze accu onverwacht snel stuk is, bij de klant. Alleen in de eerste zes maanden draait de bewijslast om: bij elke klacht moet de winkel bewijzen dat hier sprake is van gewone slijtage of onzorgvuldig gebruik en dat de schade dus conform de verwachtingen is.

Arnoud

Mag een winkel verwijzen naar de fabrikant voor de garantie?

| AE 2357 | Ondernemingsvrijheid | 28 reacties

Tentamenvraag: vindt dit verweer steun in het recht? [De winkel] heeft zich tegen de vorderingen verweerd met de stelling, dat niet hij, maar de fabrikant verantwoordelijk is voor het uitvoeren van de garantie en dus voor de reparatie van de computer. Antwoord: nee, natuurlijk niet. De verkoper die een computer aan een consument verkoopt, moet… Lees verder

Doorzoeken van een privélaptop mag ook niet zomaar

| AE 2308 | Privacy, Security | 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens… Lees verder

Massale laptopcontroles Schiphol leveren niets op

| AE 1574 | Informatiemaatschappij, Security | 10 reacties

De Marechaussee op Schiphol heeft vorig jaar meer dan duizend maal gecontroleerd op digitale gegevensdragers, meldde nu.nl afgelopen vrijdag. Vorig jaar begon men met een proef voor het doorzoeken van digitale gegevensdragers van reizigers, met als voornaamste doel het afschrikken van mensen die digitale kinderporno Nederland in zouden willen smokkelen. De juridische basis was en… Lees verder