Hoe veilig moet een smartphone zijn?

| AE 2225 | Intellectuele rechten, Security | 33 reacties

pleister-patch-reparatie-fix.jpgEen lezer vroeg me:

Al enige jaren verbaas ik mij over het gebrek aan beveiligingsupdates/patches bij embedded systemen. Zo heb ik zelf een op Linux gebaseerde Nokia smartphone. Nu weet ik dat er regelmatig stabiliteits- en veiligheidslekken in Linux en de applicaties daar bovenop worden ontdekt, maar Nokia lijkt zich daar weinig van aan te trekken. Ik krijg namelijk nauwelijks firmware updates. Is een bedrijf niet verplicht om dergelijke updates te backporten als onderdeel van de aankoop van het produkt? Je mag immers verwachten dat het produkt naar behoren en veilig functioneert.

Dat is een goeie vraag, waar ik me ook regelmatig over verbaas. Inderdaad, een product moet aan de overeenkomst beantwoorden, en daarbij geldt dat

de koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

Veiligheid lijkt me bij (embedded) software vandaag de dag wel een eigenschap die voor normaal gebruik nodig is. Je mag niet verwachten dat software foutvrij is, want iedereen weet dat dat niet kan voor de prijs van een smartphone, maar je mag wel verwachten dat fouten van tijd tot tijd worden gerepareerd lijkt me zo.

Niet iedere update of fix voor de originele software is automatisch ook passend voor de embedded software. Deze kan specifiek zijn voor de PC-versie in plaats van het embedded platform, hij kan dingen instabiel maken of eenvoudigweg te groot of complex zijn voor de embedded variant. Ik denk dus niet dat je mag verwachten dat elke security-update doorgevoerd zal worden vanuit de originele software. Maar waar ligt de grens?

Arnoud