In de rechtszaak tussen Samsung en de Consumentenbond heeft de rechter de eisen van de laatste niet toegewezen. Samsung heeft de laatste jaren haar communicatie over updates verbeterd. Bovendien werd niet erg duidelijk hoe groot de gevaren daadwerkelijk zijn waar gebruik(st)ers door trage updates aan blootgesteld worden.
De Galaxy S7, die eind 2017 nog het mikpunt was van de Consumentenbond
Meer dan twee jaar geleden daagde de Consumentenbond Samsung voor de rechter om een beter updatebeleid af te dwingen. In dat kort geding besloot de rechter destijds geen uitspraak te doen, omdat niet duidelijk was hoe groot de concrete gevaren waren die trage updates met zich mee brengen. Om de zaak juridisch verder uit te zoeken startte de Consumentenbond daarna een bodemprocedure, en gooide eind 2017 nog wat olie op het vuur door de aankoop van een Galaxy S7 af te raden wegens ontbrekende updategaranties. Gisteren deed de rechter eindelijk uitspraak in de bodemprocedure.
Samsung vs Consumentenbond: uitspraak
In de bodemprocedure eiste de Consumentenbond van Samsung onder meer dat updates (beveiligingspatches) binnen een maand na vrijgave door Google worden uitgerold, upgrades (grote Android updates) binnen drie maanden. Bovendien wil de Consumentenbond dat Samsung klanten beter informeert over het updatebeleid voor een toestel.
De rechter vindt (uitspraak: PDF) dat Samsung de laatste jaren haar informatievoorziening voldoende verbeterd heeft. De informatie die op de eigen website bij iedere telefoon geboden wordt is duidelijk genoeg. Een interessanter deel van de uitspraak zit ‘m in het afdwingen van snellere updates/upgrades. Tijdens het allereerste kort geding in 2016 kon de Consumentenbond niet voldoende aantonen dat trage updates concrete gevaren met zich meebrengen. En ook nu blijft dit een heikel punt:
De Consumentenbond heeft naar het oordeel van de rechtbank tegenover de gemotiveerde betwisting van Samsung onvoldoende gesteld om te kunnen concluderen dat elke door Google als critical aangemerkte kwetsbaarheid gebruikers van Samsung smartphones, mede gelet op door Samsung aangebrachte wijzigingen in en toevoegingen aan de betreffende Android-versie, automatisch blootstelt aan reële veiligheidsrisico’s.
Met andere woorden: de Consumentenbond heeft niet laten zien dat kwetsbare plekken in het Android OS concreet – dus niet alleen in theorie – leiden tot een onveilige telefoon. Als voorbeeld wordt de Stagefright kwetsbaarheid uit 2015 aangehaald. Hoewel deze de veiligheid theoretisch in gevaar bracht, is er uiteindelijk geen enkel feitelijk misbruik bekend. Zoals de rechtbank samenvat:
als onweersproken [staat] vast dat het ontwikkelen van exploits grote investeringen in tijd, inspanning en knowhow vergt en dat in de regel voor elk type smartphone en voor elke Android-versie een specifieke exploit ontwikkeld moet worden. Samsung heeft in dat verband aangevoerd dat risicovol handelen van gebruikers zelf, te weten openen van (besmette bijlagen bij) phishing-emails en het installeren van met malware geïnfecteerde apps door gebruikers, voor kwaadwillenden veel eenvoudigere en profijtelijkere methoden zijn en verhoudingsgewijs een veel grotere bedreiging vormen dan het gebruik maken van in Android aanwezige kwetsbaarheden door middel van exploits die niet worden getriggerd door handelen van gebruikers
Natuurlijk is het punt niet dat zwakke plekken in de beveiliging van de software niet gedicht moeten worden. Maar om harde deadlines af te dwingen via de rechter moeten de gevaren concreet, niet theoretisch zijn.
Dus wat nu?
Simpel gezegd mag Samsung van de rechter zelf blijven bepalen welke updates en welke toestellen prioriteit hebben, zolang het bedrijf haar beleid voldoende communiceert. De uitspraak wil niet zeggen dat er geen strengere regels voor softwareupdates van smartphones kunnen komen. Echter, deze zullen dan via politieke weg moeten worden afgedwongen, en niet via de rechtbank.
Praktisch gezien ondersteunt Samsung al haar toestellen minimaal twee jaar, terwijl high end modellen zelfs drie jaar of langer van veiligheidsupdates worden voorzien. De Galaxy S5 uit maart van 2014 werd in het najaar van 2017 nog van een update voorzien, drie en een half jaar na release. En Note 4 – uitgebracht in september 2014 – kreeg in februari van dit jaar nog een update. De Galaxy Note 2 kreeg in april van 2017 nog een update, vier en een half jaar na release.
De maandelijkse patches arriveren meestal binnen een maand na release, al loopt het soms ook enigszins uit. Soms ook, rolt Samsung zelfs vaker dan maandelijks nieuwe updates uit als daar een goede reden voor is. Dit geldt voor toestellen in de Galaxy S- en Note-serie, en de A5 en A8 modellen. Toestellen in de J-serie, en A3 en A6 telefoons én tablets krijgen de security patches ieder kwartaal
b says
wat een onzin heb een note 8 en geen mei patch hier in Belgie!!!