image

Juridische vraag: Is de verkoper van een product dat later een kwetsbaarheid blijkt te bevatten, zoals nu met WPA2, verplicht dit op te lossen?

woensdag 18 oktober 2017, 15:24 door Arnoud Engelfriet, 15 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Recent werd de Krack-aanval gepubliceerd. Deze is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien, wat 32 procent van alle Android-apparaten is. Als ik nu zo'n apparaat heb, kan ik dan wat claimen bij de verkoper?

Antwoord: De recente attack van Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet maakt het mogelijk om de WPA2-beveiliging van wifi-netwerken aan te vallen. Kort gezegd wordt een key reinstallation attack uitgevoerd, waarbij een aanvaller het slachtoffer dezelfde encryptiesleutel laat gebruiken met nonce-waarden die al in het verleden zijn gebruikt.

De aanval gaf veel ophef door het breed gebruik van WPA2, maar met name bij Android 6 is het een probleem: daar kan een aanvaller de client een voorspelbare "all-zero" encryptiesleutel laten gebruiken, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Heb je dus een telefoon of ander apparaat met Android 6, dan heb je nu een serieus probleem.

Helaas is er nog steeds geen duidelijke wetgeving over de vraag of een apparaat securitytechnisch goed in orde moet zijn. Er zijn wel regels over productveiligheid, maar dat gaat in principe over fysieke veiligheid zoals ontploffingen en giftige stoffen.

De wet is formeel breder: een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur. Je zou dat in theorie ook kunnen toepassen op ICT-veiligheid, maar het is nog nooit geprobeerd.

Daarnaast is er nog de algemene regel van conformiteit: een product moet aan de redelijkerwijs gewekte verwachtingen voldoen, en zo niet dan moet de winkelier dat gratis oplossen of een vervangend apparaat verzorgen. Je moet dan verdedigen dat een onveilige WPA2-implementatie die verwachtingen schendt. Ik zie dat wel een heel eind: WPA2 werd altijd als de veiligste optie geadverteerd in de media, dus zou je als consument mogen verwachten dat je toestel veilig is als je dat gebruikt.

Dat de aanval zeer geavanceerd is en onverwacht voor iedereen, is daarbij niet relevant. Het risico dat zoiets gebeurt, ligt bij de winkel die het product verkoopt. (En die kan het verhalen op die importeur of fabrikant.)

Het enige tegenargument dat ik kan bedenken is dat je moet weten dat ieder ICT-product tot op zekere hoge onbetrouwbaar is, omdat aanvallen in de toekomst niet uit te sluiten zijn. Dan is het dus niet redelijk om te verwachten dat je apparaat onhackbaar/onkwetsbaar is. Maar ik vind dat argument specifiek bij deze aanval niet opgaan, juist omdat WPA2 als veilig werd geadverteerd.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
18-10-2017, 15:28 door Anoniem
Dat de aanval zeer geavanceerd is en onverwacht voor iedereen, is daarbij niet relevant. Het risico dat zoiets gebeurt, ligt bij de winkel die het product verkoopt. (En die kan het verhalen op die importeur of fabrikant.)

Hangt wel heel erg af van de vraag of een produkt nog ondersteund en verkocht wordt, of end-of-life is. Lijkt mij een vrij relevant punt in het antwoord op de gestelde vraag. In sommige gevallen zal de fabrikant zelfs niet eens meer bestaan. De verantwoordelijkheid van een winkelier houdt dan ook al snel op.
18-10-2017, 17:05 door Anoniem
"WEP" werd ook als "veilig" in de markt gezet alleen was dat gewoon helemaal niet zo. In die zin zijn alle WEP-implementaties hetzelfde, en dus... conform de verwachtingen? Hetzelfde met deze WPA2-aanval, modulo mischien dat all-zero-key artefact van "best practices", in een stuk FOSS wat vervolgens ook weer overal in terug te vinden is.

Sterker, WPA2 is ook onder deze aanval veiliger dan WPA1, en is daarmee de veiligste optie binnen de gangbare opties voor "wifi" aan je kompjoeturtje.

Net als met WEP, zo ook met WPA en WPA2: De problemen zitten (vaak, zoals hier, maar niet altijd) in de specificatie en daarmee is ongeveer iedereen getroffen, modulo details en foutjes die de zaak al dan niet erger maken.

Dus om te concluderen dat "jamaar geadverteerd als veilig" automatisch reden voor schadevergoeding toekennen is? Het voelt scheef, want de producten van deze ene fabrikant zijn net zo hard het haasje als de producten van die andere fabrikant. Daarnaast zou je bij een toegekende uitspraak best eens heel veel andere fabrikanten (*kuch* redmond *kuch*) ook kunnen aanklagen voor de ondertussen als normaal geldende security problemen, crashes, ineens niet meer ondersteunen van andere software of hardware, en zo verder. Wat dat betreft is de State Of The Art niet zo heel erg geavanceerd in computerland.

Overigens, slordig taalgebruik, Arnoud. Dat verwacht ik van een jurist toch beter, ook in een popi stukkie.
18-10-2017, 20:52 door Ron625
Met een fabrikant, of importeur, heb je als consument niets te maken.
Je doet zaken met een winkelier, dus daar kom je als consument terecht, dat is je eerste aanspreekpunt.

Wat minimaal zou moeten, is dat je updates krijgt gedurende de garantie termijn (minimaal 2 jaar dus).
Helaas is dat niet het geval.............
19-10-2017, 10:12 door Whacko
Het is erg jammer, maar aan de andere kant ook goed, dat iedereen het over WPA2 heeft.
Jammer omdat niet iedereen precies begrijpt wat er nu aan de hand is.
En goed omdat het mensen bewust maakt.

WPA2 IS nog steeds veilig en de veiligste optie die er is. de IMPLEMENTATIE ervan KAN onveilig zijn, en DAT is wat hier aan de hand is.
En dan is het nog steeds zo dat als jij netjes HTTPS gebruikt om te surfen, er over het algemeen niks aan de hand is. omdat HTTPS OOK nog steeds veilig is.
Alleen in specifieke gevallen zou je data kunnen onderscheppen als deze dus niet over HTTPS gaat. En dan moet jij ook nog specifiek als doelwit worden gepakt.

Voor het overgrote deel van de bevolking dus helemaal niks aan de hand.

MAAR... en daarmee ga ik in op dit artikel, dat neemt niet weg dat een fabrikant hier redelijkerwijs een update voor moet uitgeven, MITS (naar mijn mening) dit een redelijk recent apparaat is (2-3 jaar oud, zolang als de EU's fabrieksgarantie).
19-10-2017, 10:37 door Anoniem
Bij heel veel producten moet je, nadat je het hebt aangeschaft, nog een overeenkomst bevestigen waarbij alle garanties - zelfs de impliciete garantie dat het product iets doet - worden weggewoven en aansprakelijkheid voor fouten wordt uitgesloten. Ben je daar als consument aan gebonden? Ook als er buitenlands recht van toepassing is?
19-10-2017, 11:45 door SPer
Volgens mij is de WPA2 kwetsbaarheid geen probleem in een product maar een fout in een algoritme, in dit geval de handshake.

Ik denk dat je hier hoogstens de ontwerper van WPA2 op zou kunnen aanspreken. Het is namelijk geen hardware.

Dus ik zie niet in hoe je legitiem een leverancier hiervoor kunt aansprken .
19-10-2017, 12:12 door Anoniem
Door SPer: Volgens mij is de WPA2 kwetsbaarheid geen probleem in een product maar een fout in een algoritme, in dit geval de handshake.
Heel veel apparaten, ook smartphones, worden verkocht alsof hardware en software onafscheidelijk samen het product vormen. Dan is het volkomen terecht om een defect in die software ook als defect in het product te behandelen.

En zelfs als dat niet zou gelden is het woord "product" niet beperkt tot hardware, ook als de software als apart product aangeschaft is kan je de leverancier ervan op een defect aanspreken.
19-10-2017, 12:15 door Briolet
Door Anoniem: …In sommige gevallen zal de fabrikant zelfs niet eens meer bestaan. De verantwoordelijkheid van een winkelier houdt dan ook al snel op.

Voor de verantwoordelijkheid maakt het niet uit of de fabrikant wel of niet meer bestaat. De consument heeft een contract met de winkelier en niet met zijn leverancier.
19-10-2017, 12:18 door Anoniem
Door Whacko: WPA2 IS nog steeds veilig en de veiligste optie die er is. de IMPLEMENTATIE ervan KAN onveilig zijn, en DAT is wat hier aan de hand is.
De ontdekker van de kwetsbaarheid spreekt je tegen:
The weaknesses are in the Wi-Fi standard itself, and not in individual products or implementations.
https://www.krackattacks.com/, eerste zin tweede alinea.
19-10-2017, 13:11 door Anoniem
Voor de verantwoordelijkheid maakt het niet uit of de fabrikant wel of niet meer bestaat. De consument heeft een contract met de winkelier en niet met zijn leverancier.

Geen enkele winkelier zal je helpen een kwetsbaarheid te verhelpen in een produkt van een fabrikant die niet meer bestaat (overmacht). Verder is het bij de meeste winkels zo dat je voor dergelijke ondersteuning niet bij hen moet zijn, maar bij de fabrikant voor garantie en ondersteuning.
19-10-2017, 14:20 door Anoniem
Door Anoniem:
Geen enkele winkelier zal je helpen een kwetsbaarheid te verhelpen in een produkt van een fabrikant die niet meer bestaat (overmacht). Verder is het bij de meeste winkels zo dat je voor dergelijke ondersteuning niet bij hen moet zijn, maar bij de fabrikant voor garantie en ondersteuning.
Je verwart nu "wat geen enkele winkelier zal doen" met de wettelijke verplichting.
Kijk, ik vind het ook onredelijk dat een winkelier verantwoordelijk zou kunnen worden gehouden voor problemen die
er zijn met de specificatie van een protocol wat gebruikt wordt in de spullen die hij de afgelopen jaren geleverd heeft
en die de fabrikant al niet leuk meer vindt om aan te werken, of waarvan de fabrikant niet meer bestaat, maar wettelijk
is dat wel zo.
19-10-2017, 17:23 door karma4
Door Anoniem:
Je verwart nu "wat geen enkele winkelier zal doen" met de wettelijke verplichting.
Kijk, ik vind het ook onredelijk dat een winkelier verantwoordelijk zou kunnen worden gehouden voor problemen die er zijn met de specificatie van een protocol wat gebruikt wordt in de spullen die hij ......
Met ds onredelijkheid heb je net de vrijwaring van de winkelier onderbouwd. Ook dat is wettelijk.

Nog een leuke woekerpolissen zijn ooit als producten met grote gebreken verkocht. En de verkoper en de fabrikant hebben zich in alle bochten en met behulp van vrienden er behoorlijk onderuit gedraaid. Die wettelijke aansprakelijkheid bleek een wassen neus. De onderbouwing g was eenvoudig de schade verhalen had een te grote impact op de schade veroorzakers.
19-10-2017, 17:49 door Anoniem
Er is nu een fout ontdekt in de implementatie van een bepaald design (WPA2). Kunnen we eens kijken naar een paralel uit de fysieke wereld?

Stel een auto fabrikant zet de wielen vast met wielbouten die maar 4 mm in de as vastzitten. Na een jaar of drie blijken er wielen af te breken met doden tot gevolg. Volgens mij wordt die fabrikant aangeklaagd vanwege een verkeerde implementatie: als hij gewoon langere bouten had gebruikt was er geen spanning op gekomen en was er niets aan de hand geweest. Zo'n fabrikant (die dacht geld te besparen door te korte bouten te gebruiken: slechte implementatie) zal met een oplossing moeten komen. Ook al is de standaard garantie al voorbij: je mag van een auto verwachten dat die minstens 20 jaar mee kan!

Hier hetzelfde: het ontwerp van WPA2 is best aardig, maar er blijkt een tekortkoming in de implementatie: ze hebben snel en goedkoop een voorbeeld implementatie gekopieerd zonder zich er van te vergewissen of deze wel correct is (kostenbesparing???). Na verloop van tijd blijkt deze gebruikte implementatie risico's te bevatten. Volgens mij moet zo'n fabrikant ook dit gerstellen, en ook na de garantie periode. Ik heb een smartphone van plm. 4 jaar oud, gooien jullie je telefoonna gemiddeld 1.5 jaar weg?

Q
19-10-2017, 20:07 door Anoniem
4 maanden geleden heb ik bij de Media markt een Lenovo P2 gekocht. Na onderzoek bleek dit gewoon het beste toestel met de eis dat het Android 7 moest draaien en een accuduur heeft van 3 dagen of langer en een bepaalde stand van techniek (geheugen, CPU, connectivity). Ik doe er 5+ dagen mee. Nu heeft Lenovo aangegeven dat er geen opvolger komt. En dat er geen fix komt voor Blueborne en dit issue.

Nu verwacht ik van een winkel en fabrikant dat een toestel toch zeker 2 jaar na aanschaf van updates wordt voorzien. Wat zijn nu de implicaties want a) er is kwalitatief geen ander toestel wat aan mijn eisen voldoet, b) er ook geen toestel is met de zelfde specs voor die prijs.

Welk recht heb ik als consument nu, want mijn huidige telefoon is onbruikbaar. Ik kan bluetooth niet aanzetten en Wifi kan ik ook niet meer gebruiken.

Eigenlijk is het toestel dus gewoon defect.
20-10-2017, 09:39 door Anoniem
Geen enkele winkelier zal je helpen een kwetsbaarheid te verhelpen in een produkt van een fabrikant die niet meer bestaat (overmacht).

Nee, en dat hoeft ook niet. Maar als het product niet voldoet aan de eisen die je er redelijkerwijs aan kan stellen, heb je als consument in zo'n geval wel het recht om de koopovereenkomst te ontbinden. Kortom: geld terug.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.