Mag je de telefoon van je partner van spyware voorzien?

| AE 9410 | Regulering | 15 reacties

Een dikke 18 procent van de Britten en Amerikanen denkt dat het legaal is om de telefoon van je partner van spyware te voorzien, las ik bij Boing Boing. Bij kinderen was dat zelfs meer dan 50%, waarbij wel vrijwel iedereen van de ja-zeggers vond dat er wel een reden tot zorg moest zijn. Dat was ook bij volwassenen vaak een reden, maar de angst dat de partner vreemdging woog ook zwaar mee. En tsja, als er dan gewoon appjes zijn waarmee je dat kunt nagaan, waarom niet?

Het is in principe verboden om spyware op iemands telefoon te installeren. Er zijn wetten genoeg: de cookiewet verbiedt het installeren van software zonder duidelijke toestemming van de eigenaar, en de strafwet (art. 139c Sr) verbiedt het afluisteren van privételecommunicatie.

Voor strafbaarheid is wel vereist dat het afluisteren wederrechtelijk is, en dat wordt ingewikkeld als je in een relatie zit. Zeker als je getrouwd bent (oké, in gemeenschap van goederen) kom je al snel tot de conclusie dat er weinig strafbaars is: het is dan immers ook jouw telefoon, en je eigen spullen mag je voorzien van spyware als je wilt.

De cookiewet zou iets meer mogelijkheden moeten bieden, omdat toestemming daar nadrukkelijk door de betrokkene zelf moet worden gegeven. Maar ook dan kun je zeggen dat je als partner gemachtigd bent om namens elkaar privacytoestemming te geven. Dat kan dus ook behoorlijk ingewikkeld worden. Maar uiteindelijk kom je dan bij het algemene punt dat de strafwet (of de cookiewet) niet echt bedoeld is voor binnen relaties. Privacy en snuffelen moet je samen oplossen.

Bij kinderen geldt eigenlijk hetzelfde verhaal. Ook kinderen hebben privacy, maar daar staat de ouderlijke zorgplicht tegenover. Kort gezegd moet je als ouder een duidelijke reden hebben, een aanleiding die maakt dat je niet anders kúnt dan die spyware inzetten. En ik denk ook dat je het achteraf moet vertellen en bespreken, maar dat is niet helemaal een juridisch argument.

Zou je dit bij een losse scharrel doen of die leuke persoon m/v op het werk of in het café, dan wordt het natuurlijk anders. Dat is vrij evident strafbaar. Alleen is het dan weer lastiger om erachter te komen dat dat gebeurt.

Wie heeft er tips om zulke spyware te detecteren? Of beter, hoe voorkom je dat je partner/scharrel/ex/buurman zoiets op je telefoon zet, in een situatie waarin ahem niet te voorkomen is dat je op enig moment het fysiek beheer over je telefoon even kwijt bent.

Arnoud

Spywareboete DollarRevenue in stand gehouden (vrijwel dan)

| AE 1964 | Privacy | 19 reacties

dollarrevenue-floepvensters-balken.pngDe OPTA heeft een bedrijf en een persoon onterecht een boete opgelegd voor betrokkenheid bij de DollarRevenue-spywarezaak, meldde Tweakers gisteren. Een wat merkwaardige insteek: je zou denken dat het grote nieuws is dat de EULA bij de adware/spyware als onvoldoende duidelijk werd aangemerkt en je niet langs deze weg legaal software mag installeren. Dat de OPTA dan ten onrechte één BV en één van de directeuren privé had beboet, lijkt me dan meer iets voor de vierde alinea.

De boete werd opgelegd in 2007 vanwege het ongevraagd installeren van software, wat namelijk in strijd is met de Telecommunicatiewet, of beter gezegd het Besluit Universele Dienstverlening en Eindgebruikersbelangen (Bude). Het bedrijf DollarRevenue bood via allerlei affiliates een downloader aan, dat nadat het was geïnstalleerd op de computer van een eindgebruiker, zonder tussenkomst van die eindgebruiker automatisch contact opnam met de DollarRevenue server om daar nog meer software te downloaden. Daardoor kreeg de eindgebruiker een stroom van reclameboodschappen in floepvensters en een extra zoekbalk in de taakbalk van Windows XP, plus nog de nodige narigheid.

dollarrevenue.pngNou mag dat op zich allemaal wel, mits je maar de gebruiker vooraf vertelt wat hij gaat downloaden. Dat was hier niet gebeurd: de software werd via botnets verspreid maar ook als ActiveX control aangeboden. En vanwege dat laatste maakten de DollarRevenue-jongens bezwaar tegen de boete. Bij ActiveX wordt namelijk een EULA getoond, en daar stond het allemaal heus in. Zeker sinds SP2, waarbij Microsoft de informatievoorziening rond installeren van ActiveX controls had uitgebreid.

Daar trapte de verrassed cluevolle rechtbank niet in:

Bij XP SP2 wordt immers uitsluitend algemene informatie verstrekt over de toepassing van ActiveX en wordt er geen informatie gegeven over de doeleinden en plaatsing van de downloader, de loader.exe en de advertentiebundel. Het duidelijk verschaffen van informatie komt neer op de invulling van ‘Name’ en ‘Publisher” in het standaard ActiveX venster. Met betrekking tot de naam is het vermelden van ‘Click here to agree to this download”, zoals bij DollarRevenue, ontoereikend. Deze ruimte dient immers gebruikt te worden om de naam van de software kenbaar te maken. In bijvoorbeeld het ActiveX venster van Adobe Flash Player staat duidelijk om welke software het gaat, namelijk de Flash Player. Dit is met de naam ‘click here to agree to this download niet het geval.

(Een rechter die Flash installeert? Het moet niet gekker worden.)

De DollarRevenue jongens hadden nog wat achter de hand: in de EULA stond deze toch niets aan duidelijkheid overlatende zin:

Carefully read the following license agreement and the partner software application eulas found at the above online sites, because by downloading or installing, registering for, or using the software and/or partner application software, you are consenting to be bound by and are becoming a party to these agreements applicable to your software.

Maar het noemen van een EULA plus verwijzing naar die van anderen is toch bezwaarlijk uit te leggen als voldoende duidelijke uitleg over wat deze software nu gaat doen. Verwijzen naar EULAs van advertentiebedrijven helpt daarbij niet.

Bij andere verspreidingsvormen, zoals via dat botnet of via de silent install optie (bedoeld om de eindgebruiker “een overdaad aan informatieschermen te besparen”, hoe krijg je het verzonnen) en via exploits, werd zelfs helemaal niets in beeld gebracht. Dus hoe dan ook werd artikel 4.1 Bude overtreden.

Na een kort intermezzo over de bevoegdheid (veel gebruikers van deze software woonden buiten Nederland, maar dat bleek niet relevant) maakt de rechtbank vervolgens korte metten met het argument dat het allemaal de schuld van de affiliates was. DollarRevenue verspreidde de software ook zelf, en had bovendien niets gedaan om te controleren dat de affiliates zich netjes zouden gedragen.

Arnoud

Boete van OPTA voor verspreiden malware

| AE 727 | Security | Er zijn nog geen reacties

De OPTA heeft drie Nederlandse bedrijven en hun twee directeuren een boete van in totaal een miljoen euro opgelegd, meldde Planet dinsdag. De boete (van 1 miljoen) was voor het verspreiden van de DollarRevenue reclamesoftware. Deze software installeerde ongevraagd andere software, toonde reclame in floepvensters (popups) en was niet of nauwelijks te verwijderen. Goed dus dat daar hard ingegrepen is, maar sinds wanneer doet de telecomwaakhond dat?

Nou, sinds augustus dit jaar ongeveer. Ongevraagd installeren van software is verboden op grond van het (Koninklijk) Besluit Universele Dienstverlening, en de OPTA gaat over de uitvoering van dat besluit.

Zoals ik destijds schreef:

Artikel 4.1 van dat Besluit regelt dat opslaan van gegevens op iemands computer alleen mag als men eerst de gebruiker duidelijk en nauwkeurig informeert over het hoe en waarom, en ook nog eens op een “voldoende kenbare wijze” gelegenheid biedt om dat opslaan te weigeren

Mooie zaak dus dat de OPTA zo voortvarend bezig is gegaan met deze regeling. Want malware kan niet hard genoeg bestreden worden.

Arnoud

‘Dit pakket is spyware’ is geen smaad

| AE 412 | Ondernemingsvrijheid, Uitingsvrijheid | Er zijn nog geen reacties

In mei berichtte ik over het bedrijf Zango dat boos was dat hun spyware als spyware werd aangemerkt. Ze deden de anti-spyware industrie een proces aan om te eisen dat hun software van de zwarte lijst ging. Nu is die eis afgewezen, met een beroep op een oudere Amerikaanse internetwet: de Communications Decency Act. Precies,… Lees verder

Malware hard aangepakt door… de OPTA!

| AE 356 | Informatiemaatschappij, Security | Er zijn nog geen reacties

Een verrassende nieuwe speler in de strijd tegen computercriminaliteit: de OPTA! Iedereen meldt over de harde aanpak van de OPTA om de verspreiding van malware tegen te gaan. Er zijn veel definities van malware, kwaadaardige software, maar de OPTA ziet het breed: software die ongevraagd wordt geïnstalleerd. Vaak is dat ook spyware, maar dat hoeft… Lees verder