Blog

Beleid veiligheidsrisico’s van Samsung niet onrechtmatig

Recent heeft de rechtbank Den Haag vonnis gewezen in een zaak over veiligheidsrisico’s als gevolg van kwetsbaarheden in software op smartphones. De zaak was aangespannen door de Consumentenbond tegen Samsung. Kort gezegd stelt de Consumentenbond zich op het standpunt dat Samsung te weinig doet om veiligheidsrisico’s voor gebruikers van Samsung smartphones af te wenden. Ook vindt de Consumentenbond dat Samsung consumenten onvoldoende informeert over haar updatebeleid.

Eerder heeft de Consumentenbond al een kort geding tegen Samsung gestart, en verloren. Dit keer betreft het een bodemprocedure. Lees hier de dagvaarding.

Belang van de zaak

De zaak is van groot maatschappelijk belang voor de algemene veiligheid van de door consumenten gebruikte smartphones in verband met (eventuele) kwetsbaarheden in de software van deze toestellen. Veel consumenten kunnen namelijk worden blootgesteld aan de veiligheidsrisico’s van kwetsbaarheden in de software.

Door kwetsbaarheden (vulnerabilities) in software kunnen kwaadwillenden toegang krijgen tot (data op) een smartphone. In dit geval betreft het kwetsbaarheden in Android – het besturingssysteem van Google voor smartphones. Google geeft aan deze kwetsbaarheden verschillende gradaties mee: “critical”, “high”, “moderate” en “low”. In deze zaak betreft het enkel kwetsbaarheden van het hoogste dreigingsniveau (critical).

rechtspraak veiligheidsrisico's

Onrechtmatig handelen door niet lang genoeg en niet tijdig genoeg doorvoeren beveiligingsupdates?

De Consumentenbond vordert een verklaring voor recht dat Samsung onrechtmatig handelt door de smartphones niet gedurende de normale levensduur van een smartphone en/of niet tijdig van updates en upgrades te voorzien. Samsung moet kritieke updates tijdig doorvoeren zolang een smartphone normaal gesproken meegaat. In normaal Nederlands: telefoons moeten volgens de Consumentenbond minimaal twee jaar na verkoop softwarematig ondersteund worden.

Vereisten voor toewijzing

Voor toewijzing van de vordering van de Consumentenbond is allereerst vereist dat er een reëel veiligheidsrisico bestaat voor gebruikers van Samsung smartphones bestaat. Daarnaast is vereist dat Samsung feitelijk te weinig doet om die risico’s te bestrijden door niet altijd en tijdig de upgrades en updates door te voeren.

Van groot belang is dat de stelplicht en bewijslast hiervan bij de Consumentenbond ligt: Zij moet concreet stellen en, zo nodig, bewijzen dat aan deze beide voorwaarden is voldaan.

Exploits of phishingmails?

Samsung heeft in de rechtszaak verklaringen van medewerkers overgelegd waaruit een toelichting volgt dat als een kwaadwillende van een kwetsbaarheid in Android gebruik wil maken, hij een ‘exploit’ nodig heeft om toegang te krijgen tot de smartphone en vervolgens iets te kunnen doen met de data waartoe hij toegang heeft verkregen. Dat is door de Consumentenbond niet weersproken.

Ook heeft de Consumentenbond niet weersproken dat het ontwikkelen van exploits grote investeringen in tijd, inspanning en knowhow vergt, en dat in de regel voor elk type smartphone en voor elke Android-versie een specifieke exploit ontwikkeld moet worden.

Volgens Samsung zou het risicovol handelen van consumenten zelf (zoals het openen van besmette bijlagen bij) phishing-emails en het installeren van met malware geïnfecteerde apps een veel grotere bedreiging vormen. Dit is voor kwaadwillenden namelijk veel eenvoudiger en profijtelijker. Ook dit heeft de Consumentenbond niet weersproken.

Stagefright en andere kwetsbaarheden

De Consumentenbond heeft het door haar bedoelde reële gevaar van kwetsbaarheden in Android onderbouwd door te wijzen op de “Stagefright” en “Stagefright 2.0” kwestbaarheden. Die zijn in 2015 door Google als “critical” aangemerkt. Samsung heeft niet bestreden dat deze kwetsbaarheden gebruikers van haar smartphones heeft blootgesteld aan gevaren. Wel voert de Zuid-Koreanse fabrikant aan dat daarvan voor zover bekend nooit enig feitelijk misbruik is gemaakt, en dat zij de kwetsbaarheden heeft verholpen. Dat heeft de Consumentebond op haar beurt weer niet weersproken.

Daarnaast heeft de Consumentenbond de kwetsbaarheden “Fake ID”, “TowelRoot”, “ObjectInputStream deserializable” en “One class to rule them all” genoemd. De belangenorganisatie heeft echter niet gesteld dat deze kwetsbaarheden “critical” waren, of dat ze een reëel veiligheidsrisico voor gebruikers van Samsung smartphones hebben opgeleverd.

Rechtbank: kritieke kwetsbaarheden zijn niet automatisch een daadwerkelijk gevaar voor consumenten

Kritieke kwetsbaarheden zijn in theorie risicovol voor consumenten, oordeelt de rechter. Maar niet elke door Google als critical aangemerkte kwetsbaarheid stelt Samsung-gebruikers automatisch bloot aan reële veiligheidsrisico’s. Immers, Samsung heeft dat gemotiveerd betwist en heeft wijzigingen en toevoegingen aangebracht in de betreffende Android versie. De Consumentenbond heeft volgens de rechtbank daartegenover onvoldoende gesteld.

Oftewel: volgens de rechtbank staat het niet vast dat er direct een reëel veiligheidsrisico voor gebruikers van Samsung smartphones bestaat door ‘critical’ kwetsbaarheden. Daarvoor is meer vereist:

Doet Samsung voldoende om mogelijke risico’s tegen te gaan?

De vraag is dan of Samsung feitelijk onvoldoende doet om de risico’s die zich kunnen voordoen bij critical vulnerabilities tegen te gaan.

De Consumentenbond stelt dat dit het geval is, omdat niet alle Samsung-toestellen op de laatste Android-versie draaien. Slechts voor een aantal toestellen zijn maandelijks updates beschikbaar. Andere toestellen ontvangen helemaal geen updates, of met grote vertraging.

Google stelt die Android-updates en -upgrades beschikbaar. Volgens de Consumentenbond zou Samsung zo’n update binnen een maand ook moeten doorvoeren in haar software, en upgrades binnen drie maanden. Dit zou volgen uit eigen onderzoek en een verklaring van Prof. dr. Jacobs (hoogleraar computerbeveiliging aan de Radboud Universiteit), recente ontwikkelingen in binnen- en buitenland op het gebied van cybersecurity en diverse mediaberichten.

Samsung ziet dat anders en betoogt dat zij een voldoende robuust en evenwichtig systeem heeft om haar smartphones veilig te houden. Ze verwijst daarvoor naar een technische beshrijving van haar update- en upgradeproces.

Vereisten voor toewijzing: voldoende, adequaat en doeltreffend optreden tegen veiligheidsrisico’s?

Partijen zijn het erover eens dat van Samsung kan worden verwacht dat zij voldoende adequaat en doeltreffend optreedt tegen kritieke kwetsbaarheden.

Wat voldoende en adequaat en doeltreffend is, wordt mede bepaald door de aard en de ernst van de zich daadwerkelijk/reëel voordoende veiligheidsrisico’s.

Vraag is dan of Samsung feitelijk te weinig doet ter bestrijding van de veiligheidsrisico’s, door niet in alle gevallen gedurende de door de Consumentenbond genoemde periode en binnen de door de Consumentenbond genoemde termijn upgrades en updates door te voeren.

Update- en upgradeproces is complex

Tussen partijen is niet in het geschil dat Samsung veel verschillende smartphones produceert. Ook staat vast dat zij de Android-kern van Google op haar smartphones voorziet van een eigen ‘softwareschil’. Daardoor zouden door door Google ontwikkelde patches eerst door Samsung moeten worden getest en zo nodig aangepast en/of aangevuld moeten worden voordat deze als updates of upgrades op haar smartphones kunnen worden geïnstalleerd. Zou Samsung dat niet doen, dan zou dit kunnen leiden tot problemen in de softwareschil.

Samsung zou voor het ontwikkelen van updates dus afhankelijk zijn van Google voor het aanleveren van patches voor de Android-kern. Dat is niet door de Consumentenbond concreet weersproken.

Ook kan Samsung afhankelijk zijn van leveranciers van chipsets.

Daarbovenop komt dat Samsung de gewijzigde patches moet onderwerpen aan tests die Google aan Samsung oplegt. Daarna voeren telecomproviders nog een laatste controle door. Pas daarna kan een update daadwerkelijk worden uitgerold voor download en installatie door gebruikers.

De Consumentenbond heeft een vergelijking willen maken met smartphones van Google en Apple. Maar aangezien daarbij de software en hardware van eenzelfde producent afkomstig zijn, gaat die vergelijking mank – meent de rechtbank.

Doordat er veel partijen betrokken zijn, ligt het in de rede dat de doorlooptijd van een update of upgrade niet steeds gelijk is. Het hangt af van het aantal patches, de technische complexiteit en de versie van ieder model smartphone. Bovendien heeft Samsung toegelicht dat zij niet voor alle smartphonemodellen tegelijkertijd het update- en upgradeproces kan doorlopen. En ook dient zij op basis van het concrete dreigingsniveau en technische en economische afwegingen prioriteiten aan te brengen.

De Consumentenbond heeft voorts niet bestreden dat een nieuwe versie van Android niet altijd op oude smartphones kan worden geïnstalleerd, of dat oudere smartphones dan trager worden. Ook de stelling dat een upgrade niet noodzakelijkerwijs de beveiliging verhoogt is niet door de Consumentenbond bestreden.

In haar pleidooi heeft de Consumentenbond nog aangevoerd dat Samsung voor het uitvoeren van de Android-patches enkel de Android-code hoeft aan te passen. De rechtbank heeft daar opmerkelijk genoeg niets mee gedaan.

Tenslotte heeft Samsung onweersproken aangevoerd dat er geen officiële professionele standaarden zijn voor het verstrekken van updates en upgrades.

Rechtbank: Samsung doet niet feitelijk te weinig om veiligheidsrisico’s te bestrijden

De rechtbank meent daarom dat de Consumentenbond onvoldoende concreet heeft uitgelegd en onderbouwd dat een doorlooptijd van maximaal één maand voor updates en maximaal drie maanden voor upgrades redelijk en realistisch is. Daarmee staat het niet vast dat Samsung te traaf is met het doorvoeren van updates en upgrades.

Daarom oordeelt de rechtbank dat niet is gebleken dat Samsung feitelijk te weinig doet om de veiligheidsrisico’s in Android te bestrijden. Ook is niet komen vast te staan dat Samsung consumenten blootstelt aan een reëel risico van mogelijk misbruik door kwaadwillenden.

De rechtbank wijst de vorderingen van De Consumentenbond op die punten daarom af.

Informeert Samsung voldoende over haar beveiligingsbeleid?

Ten slotte verweet De Consumentenbond Samsung nog dat zij consumenten slechts minimaal zou informeren over de gevaren van onveilige smartphones. Samsung heeft na dagvaarding haar website echter aangepast.

De rechtbank laat in het midden of informatie over updates en upgrades “essentiële informatie” zou zijn, hoewel dit door Samsung gemotiveerd is betwist. De rechtbank meent echter dat Samsung op haar website “op een voor een gemiddelde consument toegankelijke wijze toereikende informatie over veiligheidsrisico’s en het belang van het installeren van updates en upgrades” geeft. Hetzelfde geldt voor informatie over wat de consument mag verwachten ten aanzien van de periode van ondersteuning met updates en upgrades.

De Consumentenbond stelt dat de consument te veel moeite moet doen om deze informatie te achterhalen, omdat daartoe teveel moet worden ‘doorgeklikt’ en ‘doorgescrold’.

De maatman-consument: een gemiddeld geïnformeerde, omzichtige en oplettende consument

De rechtbank volgt de Consumentenbond niet. Volgens haar zou de “maatman-consument” een gemiddeld geïnformeerde, omzichtige en oplettende consument betreffen, van wie verwacht mag worden dat hij bereid is zich in de aangeboden informatie te verdiepen, waarbij denkbaar is dat informatie langs verschillende wegen wordt aangeboden. De gemiddelde consument wordt in beginsel geacht in staat te zijn om verstrekte informatie op waarde te schatten, om zo nodig nadere informatie te zoeken en om vervolgens informatie uit verschillende bronnen met elkaar in verband te brengen; enige onderzoeksplicht is inherent aan de maatstaf van de gemiddelde consument.

Samsung heeft op het beginscherm van haar website nadrukkelijk de aandacht gevestigd op de (periode van de) door haar geboden softwareondersteuning. Daarmee is voor een ieder duidelijk hoe lang Samsung deze ondersteuning biedt, stelt de rechtbank.

De gemiddelde consument die meer informatie daarover wenst, kan deze informatie op eenvoudige wijze verkrijgen door via de in de website aangebrachte links door te klikken naar de relevante informatie en de productspecificaties en deze informatie vervolgens te lezen, oordeelt de rechtbank. Het onderzoek dat hij daartoe moet doen – door door te klikken en de op de website aangeboden informatie te lezen – valt binnen de marges van wat in redelijkheid van de gemiddelde consument kan worden verwacht.

Ook dit verwijt wijst de rechtbank dus af.

Reactie van de Consumentenbond

Volgens de Consumentenbond zou de rechtbank willen dat de Consumentenbond voor álle Samsung toestellen in álle situaties bewijst dat er veiligheidsrisico’s zijn wanneer Samsung consumenten geen update geeft, terwijl die wel al beschikbaar is via Google. Volgens de Consumentenbond zou dit ondoenlijk en niet nodig zijn. Google classificeert al de ernst van elk lek dat zij ontdekken en de mogelijke gevolgen daarvan.

Met het vonnis zou Samsung de ruimte krijgen om zich te verschuilen achter een veelheid aan modellen en technische en economische afwegingen. Terwijl het een keuze van Samsung zelf is om zoveel modellen op de markt te brengen. Een autofabrikant moet ook zorgen dat al zijn modellen veilig en betrouwbaar zijn en blijven. Samsung heeft diezelfde verplichting. Met deze uitspraak blijven consumenten afhankelijk van de goede wil van de fabrikant, aldus de Consumentenbond.

Lees hier meer over de acties van de Consumentenbond om fabrikanten te bewegen smartphones te blijven updaten.

@NOS: Consumentenbond heeft gevolg van beveiligingsproblemen niet concreet gemaakt

Door de NOS ben ik gevraagd om mijn mening te geven over het vonnis:

“Als ik het vonnis zo lees, vindt de rechtbank in feite dat de Consumentenbond zijn huiswerk niet goed heeft gedaan”, zegt IT-advocaat Wouter Dammers van Lawfox. “De bond is blijven steken in algemeenheden. Zo heeft het niet duidelijk gemaakt wat het gevolg is van de urgente beveiligingsproblemen.”

Dammers volgt de conclusie van de rechtbank dat de site van Samsung voldoende informatie biedt over de onveiligheid van smartphones niet. “Je kunt niet van iedereen verwachten dat ze informatie krijgen via een ver op een website weggestopte informatiepagina.”

Gerelateerde berichten