Wat nou als jailbreaken mijn telefoon juist veiliger maakt?

| AE 6331 | Security | 32 reacties

iphone-unlock-jailbreak.pngEen lezer vroeg me:

De ING heeft in de bankvoorwaarden opgenomen dat gebruikers van een gejailbreakte/geroote smartphone of tablet geen aanspraak kunnen maken om ontvreemd geld terug te krijgen indien ze slachtoffer worden van phishing. Maar mag dat eigenlijk wel?

Het is namelijk zo dat een jailbreak/root op papier meer schade kan berokkenen, omdat er meer aan te passen is, echter, het is veelal de enige weg om een proper security beleid te hanteren. Zo kan Android alleen een WPA2 Enterprise policy toepassen indien het apparaat geroot is. Avast biedt een firewall aan gebruikers van hun mobiele product, mits deze geroot is. iOS heeft ook diverse security features die alleen toepasbaar zijn op een gejailbreakte iOS.

In de wet staat dat de bank aansprakelijk is voor frauduleuze transacties, tenzij de klant grof nalatig is geweest in het gebruik van betaalmiddelen of beveiliging. Eind december hebben de banken strenge regels gesteld om te bepalen wanneer er van zulke grove nalatigheid sprake zou zijn.

De ING-bankvoorwaarden in kwestie zijn de voorwaarden voor het product* Mobiel Bankieren, en die vermelden inderdaad:

9.1 Als u gebruikmaakt van Mobiel Bankieren moet u ervoor zorgen dat het besturingssysteem van uw mobiele telefoon of tablet origineel en actueel is. Controleert u zelf regelmatig of er systeemupdates zijn.

Een gejailbreakte of geroote telefoon is niet “origineel en actueel”, dus dan overtreed je deze eis. En volgens artikel 16 is dat een probleem:

U bent volledig aansprakelijk voor de schade als u zich bij het gebruik van Mobiel Bankieren niet houdt aan deze voorwaarden.

Alleen: voorwaarden kunnen de wet niet opzij zetten, en de wet eist nog steeds die grove nalatigheid. Het is niet automatisch grof nalatig om je telefoon te rooten. Er zit wel een risico aan – een noob die iets hoort over jailbreaken, kan op vage sites gaan kijken en daar rare software binnenhalen die hem kwetsbaar maakt voor allerlei aanvallen. Dát kan grove nalatigheid opleveren. Wie niet weet wat hij doet, is grof nalatig zou ik zeggen. Zeker bij zoiets belangrijks als beveiliging.

Natuurlijk zou een bank kunnen zeggen, er is gejailbreakt dús overtreding regels dús grof nalatig, dag meneer. Zo werkt het wettelijk dus niet, alleen ja wat ga je doen als je bank dan gewoon in de “computer says no” modus blijft zitten?

Toevallig kwam ik deze blog tegen van iemand die mijn analyse uit die eerdere blog de ‘juristenval’ verweet: “de neiging van juristen om de werkelijkheid te zien zoals die door de wet wordt gedefiniëerd.” Wettelijk gezien mag de bank het niet doen, maar ze doen het lekker toch en je geld terugeisen is zó veel gedoe dat het geen zin heeft. In het extreme voorbeeld:

Het hoeft maar een klein beetje mis te gaan of ik zit al lang en breed in de daklozenopvang tegen de tijd dat ik via de rechterlijke weg mijn bank gedwongen heb de schade (deels) te vergoeden.

En tsja, ik kan niet ontkennen dat hij een punt heeft. Je recht krijgen is wat anders dan je recht hebben. En in het algemeen is het als consument heel moeilijk je recht te krijgen. Van je geld terug willen omdat een aankoop niet goed werkt tot een fraude laten herstellen door je bank.

Ik zou alleen niet weten hoe het anders moet. Meer dan uitleggen wat de wet zegt, zodat je een tegenargument hebt en dan hópelijk je bank kunt overtuigen, kan ik niet bedenken. Dreigen met consumentenprogramma’s, het bedrijf te drogen hangen op GeenStijl of Sargasso of rumoer maken zodat er Kamervragen over komen, het kan wel maar het voelt niet per se effectief.

Maar wat dan? De enige echte oplossing is als de banktoezichthouder hier bovenop gaat zitten en de kant van de consument kiest. Of dat de Consumentenbond nu weer om de tafel gaat met de banken. De Bond deed immers mee met het opstellen van die regels, en kan na deze ontstane commotie mooi scoren door de regels consumentvriendelijker op te stellen.

*Overigens erger ik me wezenloos aan de trend om dienstverlening ‘producten’ te noemen. Een product doet pijn als het op je tenen valt. Mobiel Bankieren (of gratis reizen buiten de spits) doet dat niet, dus is het geen product. Punt.

Arnoud

Garantie telefoons mag niet vervallen bij root of jailbreak

| AE 5481 | Ondernemingsvrijheid, Security | 44 reacties

levenslang-100-garantie.jpgDe garantie op een telefoon mag niet vervallen als een gebruiker zijn telefoon root of jailbreakt, zo vatte Tweakers mij samen vorige week. Wettelijke garantie oftewel conformiteit is namelijk geen binair ding dat vervalt zodra je ergens waar dan ook iets geks doet. Het is een wettelijk recht dat je telefoon (of ander apparaat) moet doen wat je ervan mag verwachten. Zolang de jailbreak of andere ongeautoriseerde actie los staat van de oorzaak van het conformiteitsgebrek, is de winkel nog steeds verplicht dat gebrek gratis te herstellen.

Al minstens tien jaar hebben we het systeem van wettelijke garantie: een product moet gewoon doen wat je er (redelijkerwijs) van mag verwachten. Fabrikanten (en winkels) mogen daarnaast aanvullende garanties verlenen als ze daar zin in hebben, maar dat moet bóvenop de wettelijke garantie gebeuren. Rechten inperken is niet toegestaan, en mensen wijsmaken dat ze alleen recht hebben op fabrieksgarantie of dat ze garantie móeten kopen om ergens aanspraak op te maken ook niet. In 2011 werd nog een flinke boete opgelegd voor dergelijke grappen.

Aan aanvullende garanties mogen voorwaarden worden gesteld, en de voorwaarde “deze vervalt volledig als u gaat zitten hobbyen” is bij een aanvullende garantie op zich legaal. Maar die voorwaarde tast niet je wettelijke garantie aan.

Het systeem van wettelijke garantie werkt genuanceerd: bepaal de oorzaak van de fout, en ga dan na of deze oorzaak redelijkerwijs verwacht mocht worden. Daarbij kun je van alles meewegen, zoals de leeftijd van het apparaat, het soort gebruik, het verwachte gebruik, mededelingen bij de verkoop (‘showroommodel’) en ga zo maar door. Een toetsenbord dat na 2 jaar intensief gebruik letteraanduidingen op bepaalde toetsen kwijt is, is niet nonconform, net zoals een batterij die na drie jaar minder capaciteit heeft. Dat is gewoon slijtage. Een toets die na 2 jaar compleet van dat toetsenbord áf valt, lijkt me wel een conformiteitsgebrek – afhankelijk van de te verwachten kwaliteit natuurlijk.

Of je een apparaat zelf hebt aangepast, staat dus in principe los van de vraag of je wettelijke garantie hebt. De vraag is dan eigenlijk of de eigen aanpassing (mede) de oorzaak is van het probleem. Zo niet, dan is de winkel gehouden het probleem te herstellen of je gratis een nieuw apparaat te geven. Dat ik mijn firmware flash, betekent niet dat de batterij straffeloos binnen een uur leeg mag lopen, tenzij mijn nieuwe firmware continu wifi en GPS aan laat staan en héél veel radioverkeer genereert natuurlijk. Garantie is een lokale variabele die per feature op ja/nee/beetje kan staan.

Als de fout los staat van het jailbreaken of aanpassen, dan moet de winkel de telefoon dus herstellen of vervangen. Volgens mij is daarbij een open vraag of ze dan een standaard firmware mogen terugzetten. Je zou zeggen van niet, want de firmware heeft dan immers niets te maken met de fout. Maar het onderzoek naar de fout kan bemoeilijkt worden door die custom firmware, en je zult sowieso moeten beginnen bij de vraag óf de firmware de fout maakt. Stock firmware terugzetten en zien of het probleem dan weg is, is de meest geëigende weg om die vraag te beantwoorden.

De gebruiker is dan wel bepaalde data kwijt, maar dat risico kun je wel bij de gebruiker leggen lijkt me.

Arnoud