image

Duitse Media Markt aangeklaagd wegens onveilig Androidtoestel

donderdag 20 juli 2017, 17:14 door Redactie, 22 reacties

De consumentenautoriteit van de Duitse deelstaat Noordrijn-Westfalen heeft een vestiging van de Media Markt in Keulen aangeklaagd wegens het aanbieden van een goedkoop Androidtoestel met beveiligingslekken. De 99 euro kostende Mobistel Cynus T6 bevatte op het moment dat het in de winkel lag 15 kwetsbaarheden waarvoor geen patch beschikbaar is. Iets dat aan potentiële kopers duidelijk had moet worden gemaakt, aldus de Verbraucherzentrale NRW.

De Cynus T6 draait op Android KitKat 4.4, een versie van het besturingssysteem die uit 2013 stamt. De Media Markt verkoopt het toestel inmiddels niet meer, maar deed dat wel vorig jaar augustus toen de consumentenautoriteit iemand het toestel liet kopen. De koper werd vergezeld door een medewerker van het Bundesamtes für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Het BSI voerde tests op de telefoon uit en ontdekte 15 beveiligingslekken, waaronder de mogelijkheid voor een aanvaller om willekeurige code uit te voeren. Mobistel werd vorig jaar september door het BSI over de kwetsbaarheden ingelicht, maar gaf geen reactie. Ook zijn er naar aanleiding van de waarschuwing over de beveiligingslekken geen updates voor gebruikers verschenen. De Süddeutsche Zeitung meldt dat de Verbraucherzentrale NRW ook Google had kunnen aanklagen, maar er besloten werd om de dealer aan te pakken, aangezien die verplicht is om informatie over kwetsbaarheden te verstrekken.

Volgens Christine Steffen van de consumentenautoriteit kan het niet zo zijn dat iemand een nieuwe telefoon in de winkel koopt die allerlei beveiligingslekken bevat die niet zullen worden gedicht, zonder dat dit aan de koper duidelijk wordt gemaakt. De Verbraucherzentrale NRW wil de verkoop van dit soort toestellen niet verbieden, maar wil wel dat potentiële kopers een goed geïnformeerde keuze kunnen maken. Een districtsrechter in Keulen buigt zich nu over de zaak.

Reacties (22)
20-07-2017, 17:41 door ph-cofi
Interessant, deze, want als winkels moeten waarschuwen voor IT producten in de schappen, waar geen ondersteuning wordt geboden door fabrikanten...dan breekt een utopisch tijdperk aan!?

Vreemd overigens dat de BSI op zoek gaat naar kwetsbaarheden in een Android versie die dan 3 jaar oud is. Waarschijnlijk volstond het doorzoeken van het Android vulnerability archief.
20-07-2017, 17:53 door Anoniem
Het toestel is verkocht als nieuw, hoe oud de software is en dat die "onveilig" is kunnen veel consumenten niet weten.
Daarvoor staat een informatie plicht van de verkoper.
Winkels zijn de verkopers die zijn in principe verantwoordelijk niet de fabrikanten.
20-07-2017, 18:59 door Anoniem
Door ph-cofi:
Vreemd overigens dat de BSI op zoek gaat naar kwetsbaarheden in een Android versie die dan 3 jaar oud is. Waarschijnlijk volstond het doorzoeken van het Android vulnerability archief.
In theorie kan de leverancier die kwetsbaarheden zelf verholpen hebben. Even een leveranciers documentje er bij houden is niet voldoende voor dit soort klachten.
20-07-2017, 20:45 door Ron625
Waarom worden ze niet verplicht, om beveiligings updates gedurende de garantie periode te leveren?
Nu krijg je op sommige goedkopere toestellen na 3 maanden al niets meer.
20-07-2017, 21:29 door Anoniem
Mediamarkt ligt nog vol met verouderde Android toestellen en tablets.
21-07-2017, 08:12 door spatieman
de wolfgang van aldi is ook zon toestel.
200 euro voor het vlagschip, maar updates, vergeet het maar..
21-07-2017, 09:29 door buttonius
Door Ron625: Waarom worden ze niet verplicht, om beveiligings updates gedurende de garantie periode te leveren?
Nu krijg je op sommige goedkopere toestellen na 3 maanden al niets meer.
Ik denk dat het de bedoeling is van de consumentenautoriteit van Duitse deelstaat Noordrijn-Westfalen om hier jurisprudentie over te krijgen.
21-07-2017, 09:58 door Anoniem
Ik kan niet wachten tot de consumentenbond hier hetzelfde gaat afdwingen.

Ook op sites als groupon met regelmaat 'refurbished' mobieltjes te vinden die niet de laatste updates meer ondersteunen. Dat zouden ze echt moeten vermelden.
21-07-2017, 10:37 door Anoniem
Als consument zou je hier natuurlijk ook op kunnen letten, maar dan moet je wel eerlijke informatie krijgen van de winkelier. Het lijkt mij nog altijd beter dat er een verdienmodel voor updates komt, want nu heeft geen enkele fabrikant er belang bij om upgrades te leveren - je betaalt er niet voor en zonder updates koop je eerder een nieuwe.

Mijn auto moet regelmatig voor een onderhoudsbeurt, daar betaal ik voor en dat is dus een mooi verdienmodel naast de verkoop van auto's. De dealer vindt het dan ook prima als ik in een oude auto door blijf rijden, want des te vaker kom ik langs voor reparaties.

Zouden ze dus bij telefoontoestellen ook moeten doen, je laten betalen voor updates en die dan ook leveren. Gewoon een onderhoudsabonnementje kunnen afsluiten of kiezen voor elke twee jaar een nieuw toestel.
21-07-2017, 10:49 door Anoniem
De Verbraucherzentrale NRW wil de verkoop van dit soort toestellen niet verbieden, maar wil wel dat potentiële kopers een goed geïnformeerde keuze kunnen maken.

Waarom eigenlijk niet. De gebruiker van zo'n telefoon wordt bijvoorbeeld wel geacht het toestel veilig te houden, indien deze wordt gebruikt voor mobiel bankieren. Wettelijke regels zijn op zijn plaats voor providers, om te zorgen dat de toestellen die consumenten kopen veilig zijn/blijven. Zelf-regulering werkt duidelijk niet voldoende.
21-07-2017, 11:05 door Anoniem
Dan krijg ik vast 6 miljard euro terug van die 10 PC's die ik met Windows gekocht heb.
Ohnee... Android of Samsung bashen was nu het devies van al die consumenten toko's...
Vraag me af of dat soort dingen op de golfbaan met electrische autootjes besproken wordt.
21-07-2017, 11:39 door Ron625 - Bijgewerkt: 21-07-2017, 11:39
Door Anoniem: Wettelijke regels zijn op zijn plaats voor providers, om te zorgen dat de toestellen die consumenten kopen veilig zijn/blijven.
Daar hebben de providers niets mee te maken, hebt gaat om de leverancier die de toestellen levert.
21-07-2017, 12:29 door Anoniem
Mijn auto moet regelmatig voor een onderhoudsbeurt, daar betaal ik voor en dat is dus een mooi verdienmodel naast de verkoop van auto's.

Het wordt een ander verhaal als het BIOS van je (zelfrijdende) auto door de fabrikant (verkeers-)veiligheids updates wordt onthouden en hierdoor nodeloos slachtoffers vallen, niet? Is het dan nog steeds redelijk de klant te laten betalen?
21-07-2017, 12:41 door Anoniem
Heel goed dat de Duitse Mediamarkt wordt aangeklaagd. Dit zou in alle EU-landen en met alle (web) winkels moeten gebeuren die verouderde en/of onveilige toestellen verkopen. Maar er moet ook nieuwe,strengere wetgeving moeten komen die regelt dat fabrikanten voor tenminste 2 jaar en liefst 5 jaar (want een telefoon/tablet moet bij normaal gebruik zeker 5 jaar kunnen meegaan. Google zou dit zelf ook verplicht moeten stellen aan de fabrikanten.Al is het maar voor de toestellen voor op de Europese markt.De EU moet o.a. Google daartoe verplichten.Dit moet dus ook gelden voor Apple (i-phone) en andere fabrikanten zoals Wileyfox met cyanomoged. Updates en patches moeten door ontwikkelaar en vervolgens door smartphone/tablet-producent verplicht verstrekt worden en wel binnen binnen max.2 maanden na bekend worden lek. Ook moeten consumenten recht krijgen op minstens 1 upgrade naar nieuwere versie van OS, dit moet ook gelden voor computers. De EU moet hierin aktiever en dwingender worden.
21-07-2017, 12:51 door Anoniem
Door Ron625:
Door Anoniem: Wettelijke regels zijn op zijn plaats voor providers, om te zorgen dat de toestellen die consumenten kopen veilig zijn/blijven.
Daar hebben de providers niets mee te maken, hebt gaat om de leverancier die de toestellen levert.
Dat betekend dat Google en bijv ook Microsoft de toestelfabrikanten moeten verplichten om patches,updates en upgrades te verschaffen.De toestelfabrikant moet dan complyen of anders mogen zijn volgende toestellen niet meer met android resp.windows worden uitgerust.De toestelfabrikant moet dan maar zn eigen OS ontwikkelen. Maar probleem is dat Google toestelfabrikanten NIET WIL dwingen om die patches,updates en upgrades aan de toestel-kopers te verstrekken en daarom moet de EU de ontwikkelaars zoals google dwingen om of de fabrikanten te dwingen om deze updates e.d. te verwerken in de toestellen of google moet net als microsoft bij windows doet de patches,updates,upgrades zelf ter hand te nemen.
21-07-2017, 13:44 door Anoniem
Lekker hoor. Koop je een laptop met microsoft windows, zonder dat je het update ben je ook kwetsbaar.
21-07-2017, 19:15 door Anoniem
Belangrijk is te beseffen dat het OS ( van o.a. een telefoon) in licentie wordt geleverd bij verkoop. Omdat de klant geen eigendomsrecht kan doen gelden op het OS ligt het voor de hand dat de licentiehouder gehouden is op een adequate wijze het normale gebruik van het OS te leveren gedurende de normale levensduur van de hardware waarop het OS is geleverd aan de klant. Ergo: minimaal security patches binnen maximaal twee weken en als de major release van het OS wijzigt gedurende deze periode deze release(s) eveneens. Anders is levering onder licentie wettelijk niet toegestaan!
21-07-2017, 20:21 door karma4
Door Anoniem: Lekker hoor. Koop je een laptop met microsoft windows, zonder dat je het update ben je ook kwetsbaar.
Lekker hoor geld voor elk os en alle software.
En nu eens serieus met secùrity Aub.

De consumentenbond heeft dit zelfde vo I r niet bijwerken Android en andere apparatuur aangekaart maar heeft daarin (nog) niet het gelijk aan de zijde gekregen.
22-07-2017, 11:12 door Anoniem
Afz FB

Goed gedaan van die consumenten autoriteit.
Een goede stap om leveranciers aansprakelijk te stellen voor een geleverd product.
Een goede stap ook end-user devices naar voldoende veilig te krijgen.

Helaas gaat het hier er alleen om de betreffende kopers te beschermen.
Nmm ligt het belang dieper en breder.
Een onveilig device kan heel gemakkelijk gebruikt worden als step-up aanvalsvector naar alle andere IT infrastructuur.

Natuurlijk is dit niet de oplossing van het hele security probleem.
Maar een beetje dichtdraaien van een lekkende kraan maakt het dweilen gemakkelijker.

Mvg
23-07-2017, 11:08 door johanw
Door Anoniem:Zouden ze dus bij telefoontoestellen ook moeten doen, je laten betalen voor updates en die dan ook leveren. Gewoon een onderhoudsabonnementje kunnen afsluiten of kiezen voor elke twee jaar een nieuw toestel.
Aangezien er maar erg weinig mensen een drol geven om dit soort updates zou zo'n abonnement peperduur worden voor die paar mensen die dat willen. En aangezien er nergens grote virusuitbraken op mobiele telefoons zijn geweest valt het in de praktijk allemaal wel mee. Het enige dat er mee bereikt wordt is dat oude mobieltjes van de markt gehaald gaan worden, of dat er in de handleiding een bijsluiter komt over onveilige software die haast niemand leest.
23-07-2017, 11:11 door johanw
Door Anoniem: Afz FB
Een goede stap om leveranciers aansprakelijk te stellen voor een geleverd product.
Een goede stap ook end-user devices naar voldoende veilig te krijgen.
Aansprakelijk stellen doe je als er schade is, niet omdat er potentieel schade zou kunnen ontstaan. Als ik mijn garage aanklaag omdat iemand mijn auto zou kunnen stelen en er dan een ongeluk mee kan veroorzaken, of zelfs bewust iemand overhoop rijden, ben ik ook kansloos.
25-07-2017, 10:38 door Anoniem
Door Anoniem: Dan krijg ik vast 6 miljard euro terug van die 10 PC's die ik met Windows gekocht heb.
Ohnee... Android of Samsung bashen was nu het devies van al die consumenten toko's...
Vraag me af of dat soort dingen op de golfbaan met electrische autootjes besproken wordt.

Je zou een case hebben wanneer die 10 PC dit jaar waren gekocht met Windows XP waarbij de verkoper je verteld had dat je het nieuwste van het nieuwste had.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.