Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Europese overheid onderhandelt over verplichting beveiligingsupdates smartphones

De Europese Raad en het Europees Parlement zijn aan het onderhandelen over regelgeving die smartphonemakers zou verplichten om beveiligingsupdates aan te bieden, tenzij ze expliciet melden dat de telefoon geen updates krijgt.

De lidstaten van de Europese Unie hebben al overeenstemming bereikt over de regels, meldt staatssecretaris Mona Keijzer van Economische Zaken in antwoord op Kamervragen. Na een compromis tussen de Raad en het Parlement zou het dus snel tot regelgeving kunnen komen. Het voorstel voor deze regels dateert van december 2015.

Met de nieuwe regels zouden fabrikanten verplicht beveiligingsupdates voor smartphones moeten uitbrengen, zegt Keijzer. Daarop is wel een uitzondering. "Deze verplichting geldt niet als de consument er uitdrukkelijk op is gewezen dat deze updates niet worden verstrekt en hij hiermee uitdrukkelijk heeft ingestemd. Een vermelding in de algemene voorwaarden, bijvoorbeeld, volstaat dus niet."

Daarbij lijkt het erop dat de huidige informatievoorziening tekortschiet. Hoewel veel fabrikanten inmiddels voor smartphones regelmatig beveiligingsupdates uitbrengen, kan het lastig zijn om daar informatie over te vinden bij aankoop van een toestel.

Het is nog onbekend of en wanneer de regels van kracht worden en hoe ze in de praktijk precies zullen werken. Tweakers concludeerde dit voorjaar al dat het met updates van Android-smartphones de goede kant op gaat, waarbij veel fabrikanten drie jaar updates garanderen voor zowel goedkopere als duurdere modellen. Apple ondersteunt zijn iPhones tussen drie en zes jaar.

Android-updates

Door Arnoud Wokke

Redacteur mobile

02-07-2018 • 10:34

150 Linkedin Google+

Reacties (150)

Wijzig sortering
Dit zou je als fabrikant toch zelf moeten willen doorvoeren?
Als consument wil je dat de fabrikant dat doorvoert. Echter, voor een fabrikant zijn het extra kosten, terwijl ze niks meer aan je verdienen tot je een nieuwe smartphone koopt.

Ik kan zo snel 3 redenen bedenken om het niet te doen als fabrikant:
1. Updates maken kost geld.
2. Smartphones hebben een langere levensduur. Zolang je updates uitbrengt, waarom zou een consument een nieuwe smartphone van jou kopen?
3. Hoeveel mensen zullen jouw merk niet meer kopen om deze reden? Zullen er relatief weinig zijn. (hoeveel 'normale' mensen hebben überhaupt door dat er geen updates uitkomen?)

En 1 reden om het wel te doen:
1. Goed voor het imago van je bedrijf, waardoor je meer verkoopt zodra een smartphone echt te oud is geworden.

Zolang een fabrikant meer verdient dan dat ze verliezen in reputatie door geen updates uit te brengen en jou 'te dwingen' een nieuwe telefoon te kopen, dan zie ik de verleiding wel voor een fabrikant.

[Reactie gewijzigd door job_h op 2 juli 2018 10:44]

Een fabrikant moet verder denken.
Ik koop nu een smartphone bij een fabrikant die zeker voor de gehele levensduur (2-4 jaar) mij garandeert (het verleden heeft dat uitgewezen) om met kritische updates te komen.
Zelfs heel oude software versies hebben ze ooit nog eens een beveiligingsupdate gegeven.
Ja ik betaal wel 100-200 euro meer voor zo'n smartphone maar ik kan veilig internet bankieren er mee.

Ik zou na een issue met de beveiliging al snel niet meer een smartphone kopen van zo'n fabrikant en ik denk meerderen met mij. Dus qua retentie verliezen ze, maar hey ze hebben wel lekker bespaard qua wat simpele kosten. Maar mijn volgende smartphone komt wel van een andere fabrikant.
Precies, zo denk ik er ook over.

Dan komen we echter wel op punt 3.
Hoeveel mensen zullen jouw merk niet meer kopen om deze reden?
In mijn omgeving nog wel 10% denk ik, maar daar is een redelijk grote hoeveelheid actief in de IT sector. De 'gemiddelde Nederlander' zal hier niet op letten. Voorbeeld: Als mensen hier wel op zouden letten had de consumentenbond het niet af willen dwingen bij Samsung, want dan hoeven ze de consument niet in bescherming te nemen.

P.S.
Al wordt mijn volgende smartphone er een met 'klein' (sinds wanneer is 5.2" klein?) oled paneel en Project Treble. De updates doe ik dan zelf wel :p
De 'gemiddelde Nederlander' zal hier niet op letten. Voorbeeld: Als mensen hier wel op zouden letten had de consumentenbond het niet af willen dwingen bij Samsung, want dan hoeven ze de consument niet in bescherming te nemen.
Dat is juist het hele probleem, de consument heeft niet of nauwelijks besef van updates. Wat ze nu willen afdwingen is dat je als consument expliciet moet aangeven dat je het eens bent als je misschien geen updates krijgt. Dit zal helpen de consument bewuster te maken en dat ze misschien daarom wel voor een toestel gaan waarbij ze wel garantie op updates krijgen.
Ik koop nu een smartphone bij een fabrikant die zeker voor de gehele levensduur (2-4 jaar) mij garandeert (het verleden heeft dat uitgewezen) om met kritische updates te komen.
En... die updates niet gebruikt om toestellen trager te maken zodat de gebruiker zich 'gedwongen' voelt een nieuw toestel aan te schaffen.
Ik denk toch dat je dingen iets te simpel voorstelt. Je kunt als software leverancier alleen updates maken voor bekende fouten/lekken. Dit lijkt een open deur, maar alle nog niet bekende fouten zijn uiteraard (nog) niet opgelost. De vraag is als zo'n fout in 'het einde van de levensduur' van een softwareproduct bekend wordt (en het maakt dan helemaal niet uit of het over een telefoon, OS, of softwarepakket gaat) er nog een fix gaat komen. Stel je voor dat zo'n fix een zeer forse investering is, dan is de kans aanwezig dat de kosten hoger zijn dan de opbrengsten (ook als je de hogere prijs meerekent).

En nog een ander ding: fixes maken is code wijzigen. Code wijzigen is risico op nieuwe fouten. Veel code wijzigen is meer risico op nieuwe fouten. Ook hier wordt de impact (als die te kwantificeren is) van een lek meegewogen om al dan niet iets op te lossen.

Klanten hebben wat dat betreft tegenstrijdige belangen:
  • ze willen doorgaans voor zo weinig mogelijk geld zoveel mogelijk toestel voor een zo lang mogelijke periode
  • software wijzigingen die samenhangen met veranderd gedrag van OS of applicatie, of zelfs incompatibiliteit zijn ongewenst.
Dat bijt dus (soms) met elkaar.

Je kunt je ook afvragen of een levensduur van 2 tot 4 jaar een verantwoorde levensduur is. En dan bedoel ik termen van ecologie en milieubelasting v.s. welk bedrag zo'n toestel kost. Bij PCs zie je al dat 4 of 5 jaar 'normaal' gaat worden. Als dat voor telefoons ook gaat gelden, dan zullen fabrikanten ook meer werk maken van een voldoende lange termijn voor updates.

Vermoedelijk denkt een fabrikant meer en verder na dan een klant. Die ziet zijn klantjes na 2 a 3 jaar (of nog eerder) terugkomen voor een nieuw toestel. Waarom zou die dan langer updates geven?
Je kunt je ook afvragen of een levensduur van 2 tot 4 jaar een verantwoorde levensduur is. En dan bedoel ik termen van ecologie en milieubelasting v.s. welk bedrag zo'n toestel kost. Bij PCs zie je al dat 4 of 5 jaar 'normaal' gaat worden. Als dat voor telefoons ook gaat gelden, dan zullen fabrikanten ook meer werk maken van een voldoende lange termijn voor updates.
Vergeet telefoons; tablets en PCs maar even, en denk eens aan TVs.
Smart TVs van Sony en Philips draaien allemaal Android. En zelfs de nieuwere niet-smart toestellen van Sony draaien op Android, maar dan uitgekleed en weggecamoufleerd. Zonder mogelijkheid eigen apps te installeren of de standaard configuratie-schermen te benaderen van de wèl slimme broertjes en zusjes.

Wat is de geschatte verwachtte levensduur van een huiskamer TV?
6 jaar? 8 jaar? 12 jaar?

Wat gaat er dan gebeuren? Krijg je op een gegeven moment een update die alle netwerk controllers uit forceert zodat de TV geforceerd 'veilig' blijft, en rustig lek na lek ongepatched kan blijven?

[Reactie gewijzigd door R4gnax op 2 juli 2018 20:18]

TVs is inderdaad een hele andere discussie, maar daar ging het artikel niet over. Je hebt wel een punt.

In z'n algemeen zal 'meer software achter de schermen', gecombineerd met een internet (of anderszins netwerk) aansluiting inderdaad de noodzaak van (veiligheids)updates vergroten. Niet voor niets zie je al bij IoT (maar ook bij auto's) dat beveiliging en updates niet direct topprioriteit van leverancier en gebruiker hebben (zolang het werkt). Krijgen TVs überhaupt wel updates?
Krijgen TVs überhaupt wel updates?
Ja, maar nog steeds veel te langzaam.
Sony's AndroidTV platform zit op een security patch level van jan 2018, geloof ik.

Er zijn sindsdien al een aantal zaken voorbij gekomen en gepatched die voor arbitrary remote code execution met verhoogde permissies misbruikt konden worden.

[Reactie gewijzigd door R4gnax op 3 juli 2018 23:07]

Ik koop nu een smartphone bij een fabrikant die zeker voor de gehele levensduur (2-4 jaar) mij garandeert (het verleden heeft dat uitgewezen) om met kritische updates te komen.
Er zijn erg weinig mensen die er zo over denken. De concentratie is hier op tweakers juist erg hoog. En als je al iemand hebt die er wel eens over heeft gedacht, dan update hij zijn toestel niet "want dan wordt ie traag" of "dan verandert alles".
(Microsoft heeft niet voor niets gekozen voor verplichte automatische updates.)

Eerst moet er een grote malwareuitbraak op Android/IOS/Windows Phone komen waar de gemiddelde gebruiker echt last van heeft. Dan pas komt hier bewustzijn van.

[Reactie gewijzigd door jeroen3 op 2 juli 2018 15:43]

Ik denk dat je verkeerd redeneert. Een product is meer dan het fysieke ding. Het is een voorstelling in onze geest. "The core product" is inderdaad het fysieke apparaat, maar daarom zit "the Augmented product" om maar even Professor Kottler losjes te citeren uit het standaard werk "The Principles of Marketing". Techneuten houden zich primair bezig met de techische aspecten, maar er komt veel meer bij kijken om een goed product te maken.

Waarom zou een fabrikant niet geven om veiligheidsupdates? Het antwoord is simpel: Omdat de meeste consumenten er weinig om geven. Dat bewustzijn bestaat gewoon nog niet bij het overgrote deel van de consumenten. Eigenlijk verwachten ze gewoon dat een toestel veilig is. En zo zou het ook moeten zijn.

En je kan je zelfs afvragen of die updates veel aan de veiligheid toevoegen, of dat dit niet voor een belangrijker deel bepaald wordt door het gedrag van de gebruiker, zoals welke apps hij installeert, welke sites hij bezoekt, met wie hij interactie aangaat enz. Op zijn best geven ze een vals gevoel van veiligheid.

Dan zit er nog een aspect aan dat mensen gemakkelijk over het hoofd zien. Updates gaan regelmatig gepaard met problemen voor een deel van de gebruikers. En dat wordt wel degelijk opgemerkt door de gebruiker! Om in marketing-termen te blijven: Updates zijn geen "satisfier", maar wel een "dissatisfier". En in de marketing wil je dissatisfiers minimaliseren. Updates zijn eerder slecht voor het imago.

Ook als veiligheidsupdates goed gaan is het een verkeerde gedachte dat mensen daar naar uitkijken. In zijn algemeen hebben mensen een hekel aan updates. Het is een gedoe, dingen veranderen, en je kan problemen krijgen. Het kan zijn dat ze er achteraf blij mee zijn, maar de gewone mens wil liever dat dingen hetzelfde en vertrouwd blijven. Hoe minder verandering hoe beter.

Daarom kan zoiets alleen maar door overheden worden afgedwongen in het algemeen belang.

Met de economische levensduur heeft het weinig te maken. Er zullen maar weinig mensen zijn die een nieuw toestel kopen omdat de veiligheidsupdates stoppen, noch zal de gemiddelde persoon er iets van merken. Noch houdt het de criminaliteit tegen dat we een paar gaatjes in het vergiet dicht maken. Criminelen zijn eindeloos inventief en onze apparatuur en infrastructuur is niet gemaakt voor veiligheid.

De markt is geleidelijk aan het veranderen. De doorsnee koper is minder geneigd nieuwe toestellen te kopen omdat nieuwe modellen weinig nieuwe mogelijkheden meer bieden. De belangrijkste reden om regelmatig een nieuw toestel te kopen is status en imago. Veiligheidsupdates zijn vooral belangrijk als het merk nadruk legt op veiligheid zoals bijvoorbeeld Blackberry.

Overigens vind ik het een ongewenste situatie dat elke fabrikant zijn veiligheidsupdates moet uitbrengen, dat hoeft op de PC toch ook niet? Waarom kan Google die niet uitrollen. Dat geeft aan dat er inherent iets mis is met het Android systeem. En hoe kun je controleren dat die verplichte updates iets voorstellen als ze niet centraal ontwikkeld worden?

Als de EU meer veiligheid wil kunnen ze Google beter verantwoordelijk gaan houden voor alle malware die ze in hun store serveren. Gewoon eisen dat de software veilig is en geen inbreuk maakt. Google heeft centen zat maar bewijst vooral lippendiensten. Dit in tegenstelling tot de fabrikanten waarvan er veel nauwelijks winst maken.

[Reactie gewijzigd door Elefant op 2 juli 2018 16:55]

[quote]Overigens vind ik het een ongewenste situatie dat elke fabrikant zijn veiligheidsupdates moet uitbrengen, dat hoeft op de PC toch ook niet? Waarom kan Google die niet uitrollen. Dat geeft aan dat er inherent iets mis is met het Android systeem. En hoe kun je controleren dat die verplichte updates iets voorstellen als ze niet centraal ontwikkeld worden?

Google ontwikkelt patches al lang centraal. En als je een Google product hebt zoals een Nexus of Pixel dan krijg je vziw je updates ook direct van hen. Het probleem is dat andere fabrikanten die Android-apparaten uitbrengen, allerlei specifieke meuk voor hun eigen hardware-ondersteuning en hun eigen OS 'skins' en prefab-apps aan installatie-images toevoegen waardoor de standaard distributie vanuit Google niet langer compatible is.

Dat is echt een probleem wat de fabrikanten over zichzelf en hun klanten hebben afgeroepen. Google biedt daar pas met zeer recentelijke architecturele wijzigingen aan Android, oplossingen voor. Ze werden zelf de situatie met de fabrikanten en dan met name hoe het uitblijven van updates image-schado voor het Android-platform gaf, dusdanig beu dat er werk van gemaakt is.
Als de EU meer veiligheid wil kunnen ze Google beter verantwoordelijk gaan houden voor alle malware die ze in hun store serveren. Gewoon eisen dat de software veilig is en geen inbreuk maakt. Google heeft centen zat maar bewijst vooral lippendiensten. Dit in tegenstelling tot de fabrikanten waarvan er veel nauwelijks winst maken.
Google screent de store al best goed. Eigenlijk net zo goed als Apple. (Ja ook daar staat er wel eens malware in de store. Gemiddeld genomen ook langer dan bij Google, vziw.)

[Reactie gewijzigd door R4gnax op 2 juli 2018 20:27]

de oplossing is simpel....ze moeten hun eigen schillen die ze over de software leggen....apart vd software maken! nu met de nieuwe Android wordt dat al een stuk makkelijker gemaakt door Google....men zou eens moeten gaan vertrouwen op de beveiligingsupdates van Android...en deze automatisch laten doorlopen op de toestellen!
Ik kan zo snel 3 redenen bedenken om het niet te doen als fabrikant:
1. Updates maken kost geld.
2. Smartphones hebben een langere levensduur. Zolang je updates uitbrengt, waarom zou een consument een nieuwe smartphone van jou kopen?
3. Hoeveel mensen zullen jouw merk niet meer kopen om deze reden? Zullen er relatief weinig zijn. (hoeveel 'normale' mensen hebben überhaupt door dat er geen updates uitkomen?)

En 1 reden om het wel te doen:
1. Goed voor het imago van je bedrijf, waardoor je meer verkoopt zodra een smartphone echt te oud is geworden.
En dit is ook de reden waarom bijvoorbeeld toestellen van Apple ook zo duur zijn. Apple levert zelfs 3 jaar na release gewoon updates voor zijn apparaten.

De vraag is alleen; hoeveel waarde hecht zo'n consument eraan. Als je het zou vragen zegt iedereen natuurlijk dat ze er veel waarde aan hechten.

Maar wanneer ze op jacht gaan naar een nieuw toestel, dan denkt niemand daar over na. Imago, uiterlijk en prijs zijn veel belangrijker.


* Nee ik ben geen Apple fan boy
[...]


En dit is ook de reden waarom bijvoorbeeld toestellen van Apple ook zo duur zijn. Apple levert zelfs 3 jaar na release gewoon updates voor zijn apparaten.
Geloof je het zelf?
Heb je de markup gezien op elk toestel?
Het enige wat apple hoeft te doen is de drivers/ios compatibel te maken. Ze hebben geen achterlijke skin of doelloze features die al in android zelf zitten"kuch" samsung"kuch".

Als de fabrikanten hun software niet zo debiel in elkaar zetten is zo'n update een kleine moeite.

Google heeft niet voor niks alles los van elkaar gemaakt, zodat updates makkelijker zijn.
Met punt 2 kan ik niet akkoord gaan. Het gaat hier specifiek om beveiligingsupdates en niet gewoon "updates" zoals de gemmidelde consument dat ziet (nieuwe features enzv). Toestellen die geen nieuwe features krijgen gaan er op zijn tijd toch uit (notch en fullscreen phone trend, iemand?) , en beveiligingsupdates verplichten vind ik zelf nou eenmaal geweldig.

[Reactie gewijzigd door grasmanek94 op 2 juli 2018 17:45]

En die ene reden om het wel te doen heeft mij dus van Huawei/Honor weg gejaagd. Bijna geen updates. Dus dat merk ligt er bij mij uit.
Als de fabrikant zijn eigen rotzooi niet zo dicht timmert is een update ook niet veel moeite..
Apple kan het toch ook? zijn zij failliet?
Nou ik vind dat ze ook wel een regel mogen maken dat met elke update per jaar je telefoon x procent trager mag worden. Klinkt misschien als niet praktisch voor ontwikkelaars... Maar als ik kijk hoe langzaam de iPad 2 van mijn buurvrouw is op de laatst officieel uitgegeven iOS, man man man, bijna onbruikbaar.
Precies dit. Leuk al die updates continu maar ik zit eerlijk gezegd geneens te wachten op een upgrade naar oreo omdat ik bang ben dat mijn toestel traag wordt en nu lekker snappy is.
Security updates kan je helaas niet tegenhouden en zijn tegenwoordig wel mandatory.

Overigens ook een ipad 2 in huis. Ding is niet kapot te krijgen maar wel erg langzaam geworden inderdaad.
Nog meer regels...... Kunnen we daarna weer klagen dat door de EU alles onmogelijk wordt. Je gaat immers minder nieuwe functionaliteit krijgen als je dit soort achterlijke regels gaat invoeren. Of er komen heel veel verschillende SW releases waardoor alles duurder wordt.
Dit voelt meer als een 'anti-Apple' dan een inhoudelijke reactie.
Ik zeg niet dat Apple de beste keuzes maakt, waarvan dit er een is, maar "klanten naaien" is zeker niet de enige motivatie :p nieuws: Apple bevestigt dat update iPhones trager maakt als accu veroudert

[Reactie gewijzigd door job_h op 2 juli 2018 10:53]

Ik ben geen uitgesproken fan van Apple. Meer omdat het allemaal ecosysteempje dit of premium dat is, terwijl ze nog geen fatsoenlijk toetsenbord in een laptop krijgen.

Maar Samsung heeft ook boter op het hoofd. Het feit alleen al dat er nu telefoons in de winkels liggen van dat merk die al niet meer ondersteund worden. Zijn misschien oudere modellen maar als je ze niet ondersteund moet je ze ook niet meer leveren klaar. En dat doet Apple stukken beter. Over de prijs ga ik niet oordelen want daar maken beide merken zich schuldig aan. maar de Ipads en telefoons kunnen lang mee gaan. Doe maar eens met je Ipad tot ie stuk gaat, nou dan kan je effe vooruit. (ermee gooien om de levensduur te verkorten is niet geldig)
ze doen anders wel degelijk hun best!

apple was puur een voorbeeld maar door de hoeveel apple fanboys word ik meteen gemind.
maar door de hoeveel apple fanboys word ik meteen gemind.
Lijkt me eerder dat je taalgebruik daaraan ten grondslag lag. "Genaaid" en "rommel" zijn nu eenmaal woorden die je niet in een normale discussie gebruikt.
ze doen anders wel degelijk hun best!
Nou, da's dus gewoon niet waar. IOS updates vertragen de telefoon niet, maar de nieuwe apps zijn de veroorzaker.

https://www.dutchcowboys.nl/mobile/iphones-worden-blijkbaar-niet-trager-van-een-software-update
Het ene sluit het andere niet uit he. Ten eerste heeft Apple zelf al meerdere keren toegegeven dat ze de kloksnelheid terug schroeven, dus een nieuwe update is wel degelijk trager.

Daarnaast heb jij het nu over een ander probleem. Dat nieuwere software meer eist van het systeem heeft natuurlijk niks te maken met OS updates. Ik begrijp ook even niet hoe er geclaimed kan worden dat nieuwere software wel meer eisend kan zijn maar nieuwere OS updates niet? Dat is natuurlijk onzin he, dat zou betekenen dat ik WIndows 10 kan draaien op mijn oude Pentium III pc, zolang ik geen nieuwe software installeer kan dat, aldus volgens dat artikel.
Het ene sluit het andere niet uit he. Ten eerste heeft Apple zelf al meerdere keren toegegeven dat ze de kloksnelheid terug schroeven, dus een nieuwe update is wel degelijk trager.
Alleen bij gereduceerde accukwaliteit. Als je accu nog goed is, dan is dat niet aan de orde.
Dat is natuurlijk onzin he, dat zou betekenen dat ik WIndows 10 kan draaien op mijn oude Pentium III pc, zolang ik geen nieuwe software installeer kan dat, aldus volgens dat artikel.
Wat jij op je Pentium II wilt draaien, moet je helemaal zelf weten. Maar dat een nieuwe OS niet altijd betekent dat een systeem langzamer wordt kun je hier lezen:
https://www.techspot.com/...s-windows-8-vs-windows-7/
Als er al een verschil is, dan is dat in het voordeel van Win10
Volgens mij mis jij het punt echt erg hard. Ik herhaal:
Het ene sluit het andere niet uit he.
Vraag me af waarom je zo badinerend reageert op normale reacties over te verwachten moderaties. Van mij mag je die woorden gebruiken (en grover ook), maar het is wel volstrekt voorspelbaar dat je dan minnetjes krijgt, en dat weet je zelf ook (tenzij het je eerste keer is op een anoniem publiek forum natuurlijk).
Met al die -1 moderaties op jou reacties, doe je je naam wel eer aan _/-\o_ _/-\o_ _/-\o_
reactie van Mic2000:

"... Maar als ik kijk hoe langzaam de iPad 2 van mijn buurvrouw is op de laatst officieel uitgegeven iOS, man man man, bijna onbruikbaar. "

Dus echte gebruikers en echte situaties.
Ja, en dat gebeurd dus al jaren niet. De techniek om dat te doen is er, maar men weigert. Een smartphone kan in theorie prima jarenlang meegaan. Welnu, men regelt het maar met een deel v/d winst. Desnoods gooit men de prijs maar omhoog. Concurrentie regelt de rest.

Verder is het ook te zot voor woorden dat een smartphone bijv 2 jaar beveiligingsupdates krijgt terwijl niet iedereen dat toestel koopt op de launch datum, en de prijs niet zodanig omlaag gaat en het ook niet expliciet wordt gemeld dat je nog maar 1 jaar beveiligingsupdates krijgt.

Hulde aan de EU. Maar wat mij betreft moet men ook voor een werkend toestel blijven zorgen (de zgn. reliability updates).
het mag inderdaad best wat duidelijker zijn dat je minder lang updates krijgt als je een toestel koopt wat al een jaar uit is.
maar ik denk dat er genoeg mensen zijn die toch altijd de nieuwste telefoon hebben, en anderen letten er niet op en is tevreden als al hun apps/games er goed op draaien. en dan heb je nog een groep die niet perse de nieuwste telefoon wil, maar wel let op hoelang ze nog updates kunnen verwachten.
Precies en dat is nou juist het hele probleem.
Fabrikanten hebben allemaal een eigen mening of middelen om wel/niet updates door te voeren. Ik denk dat het niet misstaat als hier een regelgeving in komt. Persoonlijk :)
Als fabrikanten merken dat consumenten de toestellen toch wel kopen, waarom zouden ze er dan in investeren?
Er zou toch minstens vanuit het OS updates moeten gebeuren lijkt me. Niet alle telefoons hebben een eigen brand lijkt me. Ik bedoel Windows is toch ook een standaard geworden, kan dat niet ook met IOS en Android dan. Dus echt de basis bedoel ik dan, niet de extra geinstalleerde apps of skins.
Dat is precies wat Project Treble probeert te doen.

Helaas is dit enkel beschikbaar op Android 8.0+, en niet alle telefoons met Android 8.0 implementeren dit.

Veel oude telefoons krijgen niet een update naar 8.0, of als ze het krijgen, niet met Treble. Maar voor nieuwe telefoons die 8.0 of hoger vanaf release krijgen, is er een goede kans dat dit goed komt. De fabrikant moet alsnog wat werk doen om de nieuwe versie te ondersteunen, maar vele malen minder.

Edit: link gewijzigd

[Reactie gewijzigd door Niet Henk op 2 juli 2018 10:57]

Je hebt het niet helemaal goed.
Volgens de voorwaarden van Google bij Android 8, moeten nieuwe telefoons die vanaf launch Android 8 draaien project Treble implementeren. Het gaat dus nog een stapje verder. Al vraag ik me af hoe ze dit controleren bij sommige exotische telefoonboeren uit china. Al zullen de mensen die deze bestellen zelf de risico's wel kennen.

Telefoons met upgrade van bv 7 naar 8 worden niet omgezet naar project Treble door de fabrikant. Dit zou namelijk een nieuw bestandssysteem betekenen en de fabrikanten vinden dat riskant. Ze denken dat het te complex is waarbij de kans op een bricked telefoon te groot is.

Android One is er ook nog. Die moeten vanuit doos 2 grote android-upgrades krijgen en daarnaast 2 jaar lang security updates.
Al vraag ik me af hoe ze dit controleren bij sommige exotische telefoonboeren uit china.
Alleen toestellen die gecertificeerd worden door Google hoeven hier aan die voorwaarden voldoen.
Telefoons met upgrade van bv 7 naar 8 worden niet omgezet naar project Treble door de fabrikant. Dit zou namelijk een nieuw bestandssysteem betekenen en de fabrikanten vinden dat riskant. Ze denken dat het te complex is waarbij de kans op een bricked telefoon te groot is.
Treble is niks meer dan de system (Android framework) en vendor (Linux kernel) uit elkaar te halen, bijna alle Huawei en Honor toestellen die geüpdatet werden van Nougat naar Oreo ondersteunen nu Treble omdat die toestellen een extra partitie vrij hadden, aan de recovery, ramdisk, en user data partities wordt niks gewijzigd. Probleem met andere toestellen is dat er is niet altijd een extra partitie aanwezig, om de kernel en framework te scheiden.
https://www.google.nl/amp.../project-treble-2018/amp/
Zo snel gaat het anders nog niet?
Nu denk je mogelijk: zo snel gaat het anders nog niet. Dat heeft een reden. Project Treble werkt namelijk alleen op toestellen die vanuit de doos op Android 8.0 of hoger draaien. Krijgt een toestel later een update naar Android 8.0, dan kan Project Treble wel worden geactiveerd, maar dat is veel werk voor de fabrikanten. Het complete achterliggende systeem moet dan namelijk worden aangepast. De meeste fabrikanten kiezen er daarom voor om dat niet te doen.
En dat van die extra partitie wist ik niet. Maar dat zou de oplossing zijn geweest voor fabrikanten als Samsung.
Als je toestel die partitie vrij heeft, valt de wijziging die nodig zijn wel mee, want grote deels zit al ingebakken in het basis framework van Android.

Daar hebben sommige fabrikanten ook uit luiheid niet gedaan, zoals de OnePlus 5 en 5T hebben Treble ondersteuning gekregen via de community , devs zaggen er dat een beschikbare partitie leeg was, hebben daar de kernel geflasht en een aangepaste system image geflasht en boom, mogen OnePlus gebruikers Treble roms flashen zonder problemen.

Echter als je telefoon niet beschikt over een partitie die niet gebruikt wordt, dan moet je gaan her-partitioneren en dat wil je zeker niet doen via een update, want kans dat iets fout gaat is groot (misschien wordt dat bedoelt met de aanpassing van de achterliggende systeem) en dat gaat geen enkele fabrikant doen.
Telefoons met upgrade van bv 7 naar 8 worden niet omgezet naar project Treble door de fabrikant. Dit zou namelijk een nieuw bestandssysteem betekenen
Bijna goed: het kan wel, maar het moet niet. De meeste fabrikanten doen het dus niet. Huawei heeft het wel gedaan bij een aantal toestellen, evenals Essential met hun PH-1.

Daarnaast is er geen nieuw bestandssysteem nodig, maar wel een ander partitieschema. Herpartinioneren is echt riskant dus ik snap helemaal dat fabrikanten het niet zomaar doen.

Echter, het partitieschema is niet helemaal nieuw, het is enkel verplicht geworden met Treble. Sommige non-treble telefoons hebben het parititeschema wel al.
Dat levert soms gekke situaties op: de OnePlus 5 en 5T bvb heeft een update gekregen naar Android 8, maar dat zonder Treble. Waarom is niet helemaal duidelijk, want het toestel had wel al het juiste partitieschema. En wat is er dus gebeurd? Op XDA staat een guide waarbij je zonder enige risico je OnePlus 5(T) kan voorzien van Treble: https://www.xda-developer...neplus-5t-project-treble/

Het enige wat er gebeurt, is dat drivers op de juiste manier naar een van de ongebruikte partities worden gekopieerd. Op een non-treble rom wordt deze partitie niet gebruikt, dus het risico is eigenlijk gewoon 0.
Treble lost een probleem op, het is een belangrijke probleem, maar blijft een link in de chain.

Security flaws in je dagelijkse Android telefoon kunnen meestal in 3 onderdelen zitten:

Linux kernel
Android framework
Wijzigingen aan de framework door de fabrikant.

Voor Treble waren alle onderdelen in elkaar genaaid (meer in-depth in deze video)

Treble zorgt dat de kernel en de (gemodificeerde) framework apart zitten, die kunnen dus gescheiden van elkaar geüpdatet worden.

Maar voor de kernel je bent nog afhankelijk van de vendors en OEMs om die updates te krijgen, als een bug in de Linux kernel opgelost wordt, merge Google dat in de Android branch, dan moet Qualcomm (of en andere vendor) dat toepassen in hun eigen versie van de Android kernel en dan moet de fabrikant dan ook implementeren in hun eigen kernel die ze van de vendor krijgen en dan nog verder modificaties uitvoeren, wel is het zo dat Android nu op een 6 jaar LTS draait, dus in principe, zolang Qualcomm, Samsung, HiSilicon, mediatek en andere die patches blijven uitvoeren, zou een OEM makkelijk 6 jaar lang de kernel mogen updaten met security fixes.

En met de framework is dat nog moeilijker, want veel OEMs werken nog met erg gemodificeerde Android framework, de andere kant van Treble wilt zorgen dat OEMs zo min mogelijk AOSP gaan modificeren (als dat een goed of slecht ding is, is thema voor een andere discussie) maar ook Google weet dat dit niet 100% gaat lukken, alle OEMs inclusief Google) werken met proprietary code die ze niet zo maar met AOSP willen mergen. Dit blijft lastig dus, als Google een wijziging of een patch uitvoert die impact heeft op de modficiaties van de OEM, kost de OEM nog steeds tijd en geld om dit wijzigingen te implementeren.
Ja en nee. OEMs maken aanpassingen aan de kern van het OS zoals het toevoegen van de nodige drivers en aanpassingen waarvan zij denken dat het hun apparaat ten goede komt. Daardoor moeten aanpassingen aan die kern van het OS ook door hen worden doorgevoerd en getest omdat Google niet noodzakelijk toegang heeft tot alle benodigde broncode en het voor de fabrikanten net belangrijker is om zeker te zijn van de stabiliteit dan dat het voor Google is.
Als ik het goed heb begrepen ligt het daarnaast ook aan de SoC fabrikanten; meestal brengt deze al vrij snel geen nieuwe drivers voor hun wat oudere chips meer uit; wat het geschikt maken van een nieuwe Android versie ervoor een stuk lastiger maakt. Als de EU dan slim is pakken ze dat ook mee: als je een SoC uitbrengt dien je deze als fabrikant minimaal X jaar te ondersteunen.

Bij Windows/x86 speelt dit allemaal een stuk minder; omdat zelfs ruim 10 jaar oude hardware met de generieke drivers van Windows ook wel werken. Aan apparaten als printers merk je dat het ook daar soms wat lastiger kan zijn :P

[Reactie gewijzigd door !mark op 2 juli 2018 11:36]

Als jij als leverancier verplicht ben x jaar aan updates te verzorgen, zal je ook in de onderdelen die je koopt afspraken daarvoor waarborgen. Zo niet, moet je zelf maar drivers gaan reverse engineeren.

Is dus niet nodig voor de EU om deze bedrijven mee te nemen. Daarnaast zitten de meeste van deze bedrijven niet in de EU - noch verkopen ze producten aan bedrijven in de EU, waardoor het lastig is om ze iets op te leggen.
een nieuwe android is geen beveiligingsupdate.... maar een feature upgrade. Dat is heel iets anders. Nieuwe drivers zijn niet nodig tenzij er een beveiligingsgat in zit.
Kijk naar Windows 7, die kreeg nog jaren updates terwijl zelfs windows 10 er al was.
Daar tegenover staat dat ook Windows driver problemen kent bij een feature update, omdat er dan te veel veranderd. En niet voor alle hardware bestaan generieke windows drivers.

Dus het gaat hier gewoon om beveiligingsupdate. Als je nu Android O installeert, moet je daar de beveiligingsupdates voor uit blijven brengen. Een update naar Android P is dan dus niet verplicht.
Als de EU dan slim is pakken ze dat ook mee: als je een SoC uitbrengt dien je deze als fabrikant minimaal X jaar te ondersteunen.
Ik denk dat de beter aanpak is dat we het behandelen als ieder ander product: de winkelier is verantwoordelijk. Die moet dan maar zorgen dat zijn leveranciers (de telefoonboeren) in overeenstemming zijn met de wet. In theorie is het zelfs mogelijk om een andere developer in te huren om nieuwe drivers te schrijven voor een bepaald stuk hardware.

We moeten die verantwoordelijkheid in ieder geval duidelijk bij één partij beleggen, anders gaan ze de verantwoordelijkheid maar op elkaar afschuiven.

Ik zie liever geen aparte regels voor mobiele telefoons. We hebben namelijk precies hetzelfde probleem met tal van andere apparaten. Iedere moderne printer, fototoestel, auto, IoT-deurbel en TV zit ook vol chips en software die over het algemeen nauwelijks onderhoud krijgen maar wel op internet zitten.

Wat mij betreft zouden we onder de noemer "garantie" al een paar jaar bugfixes moeten krijgen op al die apparaten, ze worden immers geleverd met fouten in de software.
Wat mij betreft zouden we onder de noemer "garantie" al een paar jaar bugfixes moeten krijgen op al die apparaten, ze worden immers geleverd met fouten in de software.
Daar stuurt de EU ook op aan.

Er is een richtlijn in wording omtrent garantie (welteverstaan: het conformiteitsbeginsel) op digitale content, incl. software.

Digitale content (incl. lokaal of remote draaiende software, dus ook web-based services) waarbij door een gebrek in die software of services het goed niet meer correct en veilig in zijn doel kan voorzien, worden gezien als een inherent onderdeel van een fysiek goed en vallen onder het kenmerk van embedded digital content. Deze dienen volgens de EU buiten deze nieuw te vormen regeling te vallen omdat ze al onder de bestaande conformiteits-regelingen voor fysieke producten zouden moeten vallen.

Hieronder gaan een heleboel Internet of Things (IoT) apparaten vallen, maar ook een OS wat vast aan de hardware van je telefoon verbonden is kan hier natuurlijk onder gaan vallen.

[Reactie gewijzigd door R4gnax op 2 juli 2018 20:40]

Juist, maar Google heeft gezegd dat alleen de core van Project Treble af is, en dat een reeks nieuwe Treble features met Android P komen en dat het nog lang niet af is. Misschien wordt het op een gegeven moment wel zo dat updates zoals Windows het doet, gaan komen.
Tuurlijk kan dit maar dat wil de fabrikant niet!
Klopt, maar het ligt vaak wel iets complexer. De fabrikant kan beveiligingsupdates backporten. Dat kost tijd en dus geld, maar heel ingewikkeld is het niet.

Om de gehele firmware te updaten moet alle hardware werken en dat is nog wel 'ns problematisch. Als bijv Qualcomm dan de ondersteuning voor die SoC niet update dan rest alleen nog backporten.

Bovendien heb je mbt Android tegenwoordig Android One en Project Treble.
Het verbaasd me wat mensen die Android development als hobby nemen (Kernels en Roms) wat hun voor elkaar krijgen binnen zo 'n kleine tijd. Like dat doet geen fabrikant ze na... Vandaar dat ik de vertrouwen nogal kwijt ben je qua updates..
En die komt er heel gemakkelijk onderuit:

"Deze verplichting geldt niet als de consument er uitdrukkelijk op is gewezen dat deze updates niet worden verstrekt en hij hiermee uitdrukkelijk heeft ingestemd. Een vermelding in de algemene voorwaarden, bijvoorbeeld, volstaat dus niet."

Je koopt de telefoon, thuis ga je akkoord, want een andere keuze heb je niet en je hebt net een fancy nieuw toestel gekocht. En na een jaar is het tranen met tuiten....

Onder de streep gaat er niks veranderen, behalve dan dat fabrikanten gaan melden dat ze niet tot Sint Juttemis updates gaan leveren en dan je expliciet toestemming moet geven dat je ermee akkoord bent.
Toch maar eens tijd om voor de Oneplus toestellen te gaan. Die hebben net een programma opgezet. 2 jaar software updates en daarna nog 1 jaar beveiliging updates.
Inderdaad, ik hoop dat meer fabrikanten dat nieuwe google platform gaan ondersteunen
"Er zou toch minstens vanuit het OS updates moeten gebeuren lijkt me. Niet alle telefoons hebben een eigen brand lijkt me. Ik bedoel Windows is toch ook een standaard geworden, kan dat niet ook met IOS en Android dan. Dus echt de basis bedoel ik dan, niet de extra geinstalleerde apps of skins."

Dat is toch met iOS zo, of begrijp ik het nu verkeerd?

[Reactie gewijzigd door Ome Kor op 2 juli 2018 12:52]

Type foutje (zins opbouw) van mij idd moest zijn: Als dat met IOS kan moet dat met Android ook zo kunnen, maar na de uitleg over de vele soorten hardware is dit me ook wel duidelijk. Maar goed dan nog zouden security patches in ieder geval wel moeten kunnen.
Project Treble doet precies dit vanaf Android P. OS wordt losgekoppeld van de skin.
Nee dus. Android is juist groot geworden omdat de fabrikanten het konden aanpassen.

Niet iedereen wil een eenheidsworst verkopen, want dan wordt onderscheiden alleen nog maar mogelijk op prijs, en dat wil men niet.

Bij PC's kunnen fabrikanten niet anders, maar als er een alternatief was die die mogelijkheid wel bood dan was Windows allang historie.

[Reactie gewijzigd door ArtGod op 2 juli 2018 12:07]

Bij PC's kunnen fabrikanten niet anders, maar als er een alternatief was die die mogelijkheid wel bood dan was Windows allang historie.
Uhm... er bestaan al sinds jaar en dag programma's die de desktop UX van Windows op de schop nemen. De een wat steviger dan de ander. Denk nog maar eens terug aan alle startmenu mods die Windows 8 moesten ontdoen van het - destijds nog - 'Metro' gebeuren.

Het feit is dat het op de PC niet gebeurt omdat mensen het niet willen. Mensen willen daar juist die herkenbare, stock / vanilla interface. Waarom op de telefoon dan niet? Omdat daar veel meer de verwachting leeft van gescheiden eilanden. Dat is al van oudsher zo met mobiele feature-phones uit het pre-smart era.
tenzij ze expliciet melden dat de telefoon geen updates krijgt.
dan liggen er straks 2 dezelfde toestellen op de plank, 1 in een doosje met een grote sticker 'deze krijgt geen updates!' voor 500 euro, en 1 zonder die sticker voor 800 euro. Benieuwd welke het meeste zal worden verkocht.
En jij denkt dat 2 a 3 jaar aan regelmatig verkrijgen van updates 300 euro kost. Beetje veel denk je niet...
Even ter vergelijking.

Apple vraagt (vroeg) minimaal 90 euro per jaar updates met de iPhone SE 16GB; dat is dan inclusief de hardware aanschaf. Bij Windows 10 telefoons is dat minimaal 45 euro per jaar (Lumia 550 8GB, Alcatel OneTouch Fierce XL 16GB). Bij Android telefoons is de Nokia 1 8GB ook minimaal 45 euro per jaar. Nu is die iPhone SE wel ongeveer 5x sneller. Een Android toestel dat ergens rond die performance uit komt kost zo'n 265 euro per jaar met updates (Galaxy S8).

Nokia kan zo goedkoop zijn omdat ze vrijwel stock Android AOSP op hun toestellen gooien (vind ik prima, doet bijna geen ander). Het werk wordt dan dus voornamelijk door Google gedaan. En Microsoft is voorlopig gestopt met nieuwe telefoons uitgeven, dus het was kennelijk niet echt rendabel voor ze, wel geven ze nog steeds updates uit.

Ga je naar een beetje zinniger "mid-end" 32GB model dan is het iets van, Apple: 130 euro/jaar (iPhone 7), Microsoft: 200 euro/jaar (Lumia 950), Android: 233 euro/jaar (Galaxy S7).

Dus tsja, bij Samsungs Android-skinning strategie kost het kennelijk inderdaad 100 euro per jaar meer.
het is slechts een voorbeeld, als is het verschil 50 euro, dan denk ik dat de meesten -niet tweakers- gewoon voor de goedkopere gaan.
ik denk dat het leveren van updates wel meer kan kosten, de fabrikant moet al hun aanpassingen doen, testen en uitrollen. gaat best wat tijd in zitten.
Wanneer je bank of de overheid je alleen schadeloos stelt bij fraude (via jouw telefoon), als je updates krijgt, wordt de 800 Euro versie aantrekkelijker.
Wat natuurlijk belachelijk is. Telefoons zouden gewoon net zo lang updates moeten krijgen als PC besturingssystemen. Alleen dan kun je relatief veilig internetbankieren, niet met maar 2 jaar aan updates. Fabrikanten willen gewoon dat je de nieuwste shit koopt. Wegwerpmaatschappij. Goed voor de winst.
Dat de banken straks afdwingen dat je alleen nog maar kunt bankieren via hun schijt app op een smartphone maakt de situatie algeheel onaantrekkelijk.(hebben ze onderhand al een alternatief verzonnen bij ING/Rabo?)
Bij mij gaat een toestel gerust +4jaar mee. met een 2jaars update beleid ga ik dus ineens in het zelfde tijdsbestek twee keer zoveel uitgeven aan zo'n kut telefoon ongeacht de aanschaf waarde.

Ofwel; investeren in een hi-end telefoon zal ik zeker niet meer doen omdat je die als het ware toch kunt weg pleuren na twee jaar door de opgedrongen softwarematige afschrijving.

De enigste hoop ligt dan bij initiatieven als de Librem phone met een Linux OS (Debian/PureOS rolling release distribution)

[Reactie gewijzigd door Canule op 2 juli 2018 13:41]

"Bij mij gaat een toestel gerust +4jaar mee. met een 2jaars update beleid ga ik dus ineens in het zelfde tijdsbestek twee keer zoveel uitgeven aan zo'n kut telefoon ongeacht de aanschaf waarde. "
Je kan ook na 2 jaar een custom ROM erop zetten.
Mijn Motorola E 2nd gen heeft de laatste veilgheids updates in december 2016 gekregen, LineageOS er op gezet en ik heb nu iedere week gewone system updates, en eens per maand veiligheids updates
Dan moeten Custom Roms officieel ondersteund gaan worden na deze onderhandeling(keuze/mogelijkheid moet er zijn) onder een noemer Extended limited support o.d...
Anders is de kans groot dat je uiteindelijk alsnog binnen een korte tijd met stront in je handen staat.

[Reactie gewijzigd door Canule op 2 juli 2018 13:07]

Helemaal mee eens, de fabriekant moet gewoon updates leveren. Als ze minder telefoons verkopen door een slecht updatebeleid gaan ze nadenken. Het gaat toch allemaal om geld.
en dat gaat natuurlijk nooit werken, als een fabrikant in 2 jaar tijd diverse nieuwe telefoons uitbrengt, gaan ze natuurlijk niet teveel tijd en geld meer stoppen in het updaten van de oude toestellen.
bovendien is er nog het probleem dat de meeste android telefoons na 2 jaar gewoon trager worden en qua hardware niet meer de nieuwste android versies ondersteunen.

en dat fabrikanten willen dat je de nieuwste shit koopt komt omdat de consument dat ook daadwerkelijk doet, als consumenten dat niet deden dan kost het fabrikanten teveel om steeds nieuwe toestellen uit te brengen, en zouden ze langer ondersteuning bieden. ook omdat hardware fabrikanten gewoon beperkt firmware updates leveren naar de telefoonfabrikant, dan kan de fabrikant ook geen updates meer maken tenzij ze zelf de firmware zouden gaan maken (reverse engineeren).

project trebble brengt hier wel verbetering, maar dat moeten we nog zien. het is nog steeds de fabrikant die de updates moet maken, al zijn ze dan minder afhankelijk van de firmware.

de reden dat apple en microsoft het wel veel beter voor elkaar hebben/hadden is omdat ze zelf het os en de toestellen ontwikkelen.
iphones krijgen langer updates omdat het voor apple makkelijker is om een paar iphones up to date te houden dan voor fabrikanten van android telefoons om al hun versies te ondersteunen (verschillende modellen en dan ook nog verschillende versies voor verschillende regio's)
voor microsoft geldt ongeveer hetzelfde. alleen in dit geval geldt het ook voor 3rd party fabrikanten, omdat die niks aan mogen passen aan windows (alleen is het nu een beetje dood)
Ze willen vast wel dat je een nieuwe koopt maar of dat de rede is. Denk eerder omdat het geld kost en zolang de vraag naar updates niet hoog genoeg is is het simpel, kosten draaien zonder dat het nodig is is commercieel gezien gewoon dom.

Daarnaast is het in de praktijk ook geen probleem gebleken in westerse landen :)

[Reactie gewijzigd door watercoolertje op 2 juli 2018 12:16]

De eisen van banken voor schadeloosstelling zijn belachelijk en ik vind dat de overheid hier ook wel eens op mag acteren.

Vaak krijg je ook nog eens niet 100% vergoed, maar zeg 75% en dan verlies je dus nog steeds veel geld.

Ik vind dat banken wettelijk verplicht moeten worden om 100% van de schade te vergoeden als mensen hun software up-to-date houden. Geen anti-virusverplichting en dergelijke.

[Reactie gewijzigd door ArtGod op 2 juli 2018 13:54]

Een anti-virus verplichting lijkt me wel zo handig. windows defender is ook gewoon anti-virus en voor linux heb je gewoon CLAM. anti-virus kost praktisch niks maar blijft vrij essentieel voor de meeste consumenten.
Linux heeft geen anti-virus nodig en AV maakt je computer ook nog eens kwetsbaar voor virussen (hoe ironisch).

Maar het hoofdpunt is dat banken niet zelf mogen beslissen in welke mate ze een klant schadeloos stellen bij een inbraak op een klant zijn internetbanieren. Elke bank heeft weer een ander beleid en ze doen gewoon wat hen het goedkoopste uitkomt.
geen enkel bestuuringssysteem heeft anti-virus nodig, het zijn de mensen die ermee interfacen waarvoor de anti-virus is.
en dat is nu het geval? Als, als, is nu natuurlijk geen discussie.
Volgens mij zit het in de richtlijnen.
"Zorg dat de geïnstalleerde software op de apparatuur, zoals computer, tablet en/ of
smartphone, die u voor het regelen van uw bankzaken gebruikt, is voorzien van actuele
(beveiligings)updates. "
Bron: https://www.nvb.nl/media/...rme-veiligheidsregels.pdf

Zodra de markt er klaar voor is kan het gebruikt worden.
Hoeveel fraude wordt nu gepleegd op niet geüpdatet telefoon?
Of wil je zeggen dat je bij voorbaat al schuldig bent?
2 vrijwel identieke zoals de A3 serie van samsung de 2015 krijgt geen updates meer maar de 2016 nog wel, zoiets zou je dan krijgen.

maar je punt is wel een goede. dit zal vooral bij de highend smartphones het geval zijn. dat de prijzen nog overdreven hoog zijn ook al krijg je geen updates meer
Inderdaad, je zag het al verkapt terug in de Neo modellen van Samsung.
ook in de oudere Xcover generatie, die hebben volgens mij nooit een update gezien.
Ik denk niet dat je specifiek dat zal zien. Maar eerlijk is eerlijk, het is een enge gedachte. Technofoben die ik ken zijn om de een of andere reden compleet avers naar alle soorten updates. Dus ik zie eerlijk gezegd voor me dat ze geen updates als een pre gaan zien, niet een nadeel. Maar wie weet, als er genoeg bewustwording wordt gekweekt kan het wel wat worden. Ik vind het overigens wel een goed initiatief.
als het identieke toestellen zijn is dat wel een beetje belachelijk, de updates voor de ene werken immers ook voor de andere en het niet updaten van de ene levert dus geen extra winst op want de kosten voor de updates moeten ze toch maken voor de andere.

een beetje tweaker koopt natuurlijk de goedkoopste en flasht de andere firmware erover.
Dit is voor een fabrikant niet aantrekkelijk, want stel dat er één toestel met updates word gekocht en voor de rest allemaal toestellen zonder. Dan moeten ze voor dat ene toestel de update gaan ontwikkelen (dat dan net zo goed zou kunnen draaien op de andere toestellen). Kostentechnisch is dat helemaal niet interessant. Ze kunnen beter voor alle toestellen dan 550 euro vragen. Beetje mee, maar wel de ontwikkelingskosten voor de update eruit.
Voor mij is eerder de grote vraag 'hoe groot is het risico dat je loopt als je toestel niet (meer) update?'
Er wordt altijd moord en brand geschreeuwd vanuit de gebruikerskant als er geen updates komen. Meestal gaat het de gebruikers dan vooral om OS updates omdat ze toch ook maar graag dat nieuwe icoontje met die nieuwe kleur willen. En een niet geupdate toestel zal niet slechter werken zonder updates. Misschien loop je zelfs het risico (zoals bij IOS en toegegeven door Apple) dat je toestel met opzet langzamer wordt gemaakt (en men hoopt dat je sneller een nieuw toestel koopt).
Dus ik vraag me af hoeveel gevallen er procentueel zijn van schade door misbruik ten gevolge van een niet geupdate toestel. Ik persoonlijk ken niemand en heb ook nog nooit gehoord of gelezen van concrete gevallen. En ik denk dat dat minstens zo belangrijk is te weten om de juiste afweging te kunnen maken.
Velen rijden elke dag naar het werk met de auto en toch ken ik niemand die elke maand zijn remmen/banden/olie controleert, dat is toch ook evengoed een risico dat je loopt en daar hoor ik niemand over. Ik heb het gevoel dat die hele discussie zwaar overtrokken is.
Weet je nog enkele jaren terug, stagefright? Een bug die grote gevolgen had en die zeer eenvoudig te misbruiken was? Een bug die vele OEMs ertoe aan gezet heeft toch met een oplossing te komen ook al geven ze hun toestellen zelden updates? Zo een bugs zijn van onschatbare waarde voor malware schrijvers. Heel eenvoudig om te infecteren en niet zo snel opgelost door de fabrikanten.

En wil jij het risico lopen? Ik heb liever een toestel waar dat soort fouten op verholpen is dan dat er iemand een virus op los laat, mijn toestel gaat misbruiken als coin miner, iemand die toch gaat proberen om mijn contactlijst te downloaden zodat ze kunnen gaan spammen, ...

Ik heb door de jaren heen meerdere PCs van mensen gezien die claimden nooit last te hebben van virussen maar als je er dan wat onderhoud op deed en een virusscanner losliet op die HDD kreeg je direct tientallen infecties te zien. Niet alle malware is zichtbaar of voelbaar. En niet alle malware toont onmiddelijk schade.
Ja, ik herinner me Stagefright nog. Iik herinner me ook alle artikelen die zijn geschreven over het gevaar, maar ik herinner me niet één artikel over een daadwerkelijk gebruik van Stagefright, laat staan een grootschalige aanval.
Precies dat bedoel ik , ik krijg altijd enorme tegenwind voor mijn opmerkingen. Maar laten we eerlijk zijn is er iemand ooit slachtoffer geworden??
Ik bedoel iedere vlucht met een vliegtuig is een gevaar, elk klein onderdeeltje van het vliegtuig kan aanleiding geven tot ongelukken, en een ongeluk met een vliegtuig overleef je doorgaans niet. Vragen of eisen we daarom voor een vlucht de resultaten van een veiligheidscheck voor het bewuste vliegtuig? Nee niemand doet dat daar stappen we gewoon in en vertrouwen erop. Terwijl ik zo wel de nodige al dan niet fatale incidenten met vliegtuigen kan opnoemen.
Maar iedereen schreeuwt moord en brand als zijn gsm niet de laatste veiligheidsupdate krijgt.
Hoewel ik het met je eens ben klopt je vergelijking met het vliegtuig niet: iedereen gaat er van uit dat het vliegtuig veilig is, zoals ze er ook van uit gaan dat hun telefoon veilig is. Voor de gemiddelde gebruiker is het een leven en dood, het ander is 'onbelangrijk data'. Ik begrijp je punt wel, maar ben wel van mening dat we fabrikanten moeten pushen om hun producten te ondersteunen voor een periode waarvan je uit mag gaan dat het product naar behoren werkt, net zoals de 2 jaar fabrieksgarantie. Ik zou dan ook pleiten voor een verplichte vermelding of een fabrikant het apparaat (telefoon, tablet, smartwatch, smartlamp) in kwestie voorziet van volledige softwarematige updates, enkel beveiligingsupdates of geen updates, tot welke datum en hoe snel na bechikbaarheid van de update (als mensen een 3 jaar oude telefoon willen kopen vind ik niet dat je die fabrikant dit kunt verplichten. Er zullen altijd mensen zijn die prijs boven veligheid stellen).

Hierbij zul je al snel zien dat Apple en Pixel-telefoons heer en meester zijn (software- en beveiligingsupdategarantie, >3 jaar, binnen een week)
Dat bedrijven als Samsung, LG, Moto etc. middenmoot zijn (beveiligsupdategarantie, 2 jaar, 3-6 maanden)
En dat er merken zijn geen waarde hechten aan de beveiliging van zijn klaten (geen updategarantie)

Dan kunnen klanten nog zelf kiezen, maar dit is win-win-win: de markt wordt duidelijker, er worden beloftes gemaakt door fabrikanten die gerechtelijk aan te vechten zijn voor de gebruiker, de gebruiker heeft de hanvatten om een gedegen keuze te maken tussen veiligheid en prijs en de fabrikant kunnen het updateproces beter meenemen in hun productontwerp.
Probleem is denk ik dat je de ontwikkeling van software (updates veiligheidspatches) nooit vooraf kunt voorspellen. Hoe vaak gebeurd het niet dat er een lek gedicht wordt en daardoor ergens anders dingen niet meer goed werken. Ik denk dat daar de fabrikanten nog het meest tegenop zien.
Dat kan je ook zien als een ode aan de effectiviteit van media als pressiemiddel voor updates ;)
Het is natuurlijk wachten op een malwaregolf om het belang ervan in te zien. Feit is dat kwetsbaarheden gebruikt worden, zowel voor grootschalige als voor doelgerichte aanvallen. De vraag hoe groot je het risico moet inschatten, hangt van veel factoren af, waaronder jouw profiel, je gebruik,... maar zeker ook je patchlevel. Patchen is dus sowieso risico's verkleinen. Bij een nieuwe Iloveyou, conficker, nimda,... gericht op smartphones ben ik toch maar liever niet bij de slachtoffers.

Dat gebruikers meer zitten wachten op een featureupdate dan aan een beveiligingspatch lijkt me logisch, maar dat is geen argument om het belang van it veiligheid weg te schuiven.
En laten we duidelijk zijn, ik weiger geen veiligheidsupdates maar ik ben ook zeker niet in paniek als het voor mijn toestel zou stoppen. Ik denk gewoon dat de heisa eromheen vaak overdreven proporties aanneemt. En inderdaad een grootschalige aanval met veel slachtoffers zou zeker ook voor mij aanleiding zijn mijn mening te herzien.
Maar hetzelfde is gebeurd in de luchtvaart, na de terroristische aanslagen zijn daar ook allerlei maatregelen genomen die vooraf wellicht ook als gevaarlijk hadden kunnen worden bestempeld maar pas effectif afgedwongen zijn nadat er iets gebeurd was.
Ik ben het grotendeels met je eens hoor. Maar security fixes moeten wel groot op het radar van fabrikanten staan. Een upgrade van een OS niet perse al is het fijn om die support te krijgen van die buitensporig veel geld kostende telefoon. En nee er is nu nog geen sprake van een grote hack die heel veel telefoons raakt. Maar dat is echt alleen maar een kwestie van tijd zoals ik het voorspel. Ik hoop dat mijn voorspelling niet uitkomt maar ooit komt er een grote ransomware aanval waar miljoenen gedupeerd gaan worden. En dan?
Het gaat er ook meer om dat gewoon alle fabrikanten een patch-compileer-test-straat operationeel moeten houden voor het geval het wel nodig is. Het grootste deel daarvan kan nagenoeg automatisch. En operationeel houden doe je door die ontwikkel straat te blijven gebruiken. Beveiligingspatches raken meestal slechts een minder gebruikt hoekje van de software dus is het risico van extra problemen vrij laag.

Dat Android op andere wijze (zoals social engineering) veel gemakkelijker binnen te komen is, en dat beveiligingsproblemen daarom niet op grote schaal misbruikt wordt, betekent natuurlijk niet dat die miljard toestellen dan maar gewoon vatbaar moeten blijven.
Jammer dat ze zich beperken tot mobiele telefoons.. Ik zou graag zien dat ze deze regels, maar dan voor langere periode, ook hanteren voor bijvoorbeeld auto's.
Wat niet is kan nog komen. Je moet ergens beginnen, en de markt heeft zichzelf bij de mobiele telefoons vrijwel niet gereguleerd.
Wat jij zegt.
ik zou graag een verplichting zien in ondersteuning van software in de vorm van patches/fixes voor auto's van minstens 20 jaar. Want men koopt een elektrische wagen toch ook voor een gebruik langer dan 2-4 jaar ?

Bijvoorbeeld dat bij u jaarlijks onderhoud, de garagist de laatste nieuwe software bij installeert en dit verplicht word.
Wat een onzin. Dan breidt het lijstje maar uit met televisies, routers, besturingssysteem systemen. En ga zo maar door. Wordt uiteindelijk voor de consument onbetaalbaar. Hoe vaak is er nu een telefoon gehacked?
Doe jij bankzaken op jouw televisie? Kan jij iemands persoonlijke leven bekijken via de wasmachine? Telefoons zijn voor veel mensen de primaire bron voor communicatie. Lijkt me dat beveiling voor telefoons daarom ook belangrijker zijn. (*Uiteraard kan een goede hacker ook via een koelkast inbreken op een netwerk en dan wellicht bij je telefoon komen maar een directe en kwetsbare bron is een koelkast niet)
Nou sommige tv's tegenwoordig kan je ook gewoon mee skypen en hebben microfoons en weet ik veel wat allemaal. overigens kunnen alle apparaten op dat netwerk een MITM attack doen en dat bankverkeer onderscheppen.
Uiteraard leiden meerdere wegen naar Rome, maar ik zou in ieder geval de gemakkelijkste en snelste weg beter beveiligen.
Nee, ik doe geen bankzaken op mijn televisie en nee ik kan niet iemands persoonlijke leven bekijken met de wasmachine.. Wel kan ik iemands persoonlijke leven bekijken met een gehackte tv. Zowel zien als horen.

Ben het met je eens dat telefoons in deze een prio moeten hebben, maar denk ook dat de overige "smart" devices daad werkelijk meegenomen moeten worden in de wetgeving, gezien het feit dat er steeds meer van komen en gezien het feit dat Jan Modaal (met uitzondering van ons Tweakers natuurlijk) hier wellicht niet bij stilstaat.
Doe jij bankzaken op jouw televisie?
Kun jij een Netflix account op je Android TV aanmaken en een creditcard koppelen voor maandelijkse betalingen?

Ja dat kun je. En veel mensen zullen dat dan ook doen.

En wat dacht je van een gekoppelde Google account voor Play services, waarmee je o.a. films kunt bestellen om te streamen. (Relevant voor een smart TV, ja?) Fijn als ze daarmee ook gelijk toegang krijgen tot e-mail. Bij voorkeur de hoofd e-mail account zodat via password-recovery toegang verkregen wordt tot zo ongeveer elke dienst waar geen two-factor op zit.
Zal je nog verbaasd van staan denk ik zo maar, hetzelfde geldt voor televisies, laptops, routers en auto's.......... Ik betaal liever wat meer dat het goed en secure is , als dat ik voor iets minder geveolig ben voor hacks...


Edit toevoeging en typo.

[Reactie gewijzigd door MisterJRF op 2 juli 2018 10:45]

Zijn er dan "hacks" voor tv's? En 9/10 keer is Smart tv al slecht werkend vanaf dag 1. Het enige wat ik weet is dat "hackers" je Computer/Telefoon kunnen voorzien van malware en op die manier communiceren met je tv. Dus waarom zou je TV dan niet secure zijn?

En routers die je van de ISP krijgt krijgt ook regelmatig updates en patches die lekken dichten.
Ik zal de post moeten opzoeken, was eveneens hier op tweakers naar aanleiding van de leaks bij o.a. de veiligheidsdiensten in de VS.

Maar om antwoord op je vraag te geven, ja er zijn verscheidene hacks voor Smart tv's die er toe leiden dat men op afstand camera's (indien aanwezig) en microfoons en speakers kunnen activeren om af te luisteren en te monitoren en er zijn hacks die verscheidene soorten Malware in de tv kunnen installeren.

vanaf daar kan men ook het netwerk "hacken", om dat desbetreffende apparaten veelal op dezelfde router/Modem zijn aangesloten.

Daarnaast is zo'n hack op de televisie natuurlijk extra link, omdat het IOS niet makkelijk toegankelijk is en ik eigenlijk geen mensen ken die er de tijd voor nemen om eens even te kijken hoe het zit met de veiligheid en kwetsbaarheid van hun televisie.
Die van de CIA moest men toch fysiek toegang hebben tot de tv? En ja als je toegang tot een apparaat hebt zijn de mogelijkheden eindeloos. Ook je Computer is dan niet meer veilig.
https://wikileaks.org/ciav7p1/cms/page_12353643.html

Schijnbaar voor sommige dus niet, omdat die mee kunnen liften in de API's van verschillende apps.

Goed het gaat uiteindelijk om de awareness bij een ieder.
Dus waarom zou je TV dan niet secure zijn?
Omdat de smart TVs van bijv. Sony en Philips ook maar gewoon Android draaien. Niets minder gevoelig voor malware dan een smart phone.

Wss. zelfs meer gevoelig, aangezien het patch-niveau in TV land behoorlijk droevig stemt. Sony zit geloof ik nog op een security patch level uit januari dit jaar en er zijn in die tijd al behoorlijk wat belangrijke lekken gedicht, waaronder lekken die het op afstand uitvoeren van arbitraire code toestonden binnen een verhoogde permissie-context.

[Reactie gewijzigd door R4gnax op 2 juli 2018 21:12]

Zullen we dan ook maar gordels uit auto;s weghalen, en kreukzone, en geen airbags meer? Dat kost allemaal geld waardoor het duur word voor consumenten.

Veiligheid kost nou eenmaal geld, en zorgen dat je updates kan doorvoeren kost slechts een fractie van de prijs van een telefoon.

Natuurlijk moeten tv's, routers e.d. ook onder deze wet gaan vallen maar het is een goede eerste stap.

Er zijn niet zo veel cijfers te vinden maar er zijn behoorlijk veel telefoons met spyware e.d.
Geen cijfers maar wel aannemen dat het zo is maakt het geen waarheid. :)

On topic. Op zich een uitstekende actie maar waar overheden gaan dwingen wordt er altijd een achterdeur gevonden. Ook het argument dat mensen geen nieuw toestel zouden aanschaffen omdat er updates zijn is een aanname. 95% heeft geen idee dat er updates zouden moeten komen.
Maar wat gaat dit helpen dan?

Stel, een bedrijf zegt je krijgt updates gedurende 2 jaar. In die 2 jaar krijg je 4x (eens per half jaar wat niet geheel onrealistisch op dit moment) dan heb je er toch eigenlijk ook niks aan? Maar ja, dan heb je wel je updates gehad toch...

dan zouden ze het ook maandelijks moeten verplichten met een minimum periode.
En ook de inhoud/kwaliteit v/d updates.
Alleen een nieuw versienummer is uiteraard niet voldoende :-)
Voor welke termijn? Dat mis ik een beetje in dit artikel.

Persoonlijke vind ik dat we iets zouden moeten hebben als dit:
Basis (tot 200 euro): 2 jaar OS updates en 2 jaar beveiligingsupdates.
Dan per 100 euro die bij op de originele verkoopprijs van een toestel komt een extra half jaar OS updates en een extra jaar beveiligingsupdates. Dan weten consumenten ten minste dat over 2 jaar hun duur toestel van 800 euro nog ondersteund wordt.
(Mogelijk op beide metrics een grens van 6 jaar.)

[Reactie gewijzigd door RobinJ1995 op 2 juli 2018 11:07]

Even rekenen. Een iPhone van e1000.
2+4=6 jaar OS updates
2+8=10 jaar beveiligings updates.
Veel gebruikers kopen niet op de dag v/d introductie, dus moet Apple 7 en 11 jaar updates beloven.

Ok, je stelt een grens van 6 jaar. Dat zal dus 7 jaar moeten worden ivm met klanten die wat later kopen.
Het kan wel uiteraard. Microsoft geeft ook heel lang ondersteunig.

Nog beter zou zijn dat de gebruiker de keuze heeft alleen beveiligingsupdates te ontvangen want niemand wil natuurlijk dit soort geintjes:
http://www.dailymail.co.u...spike-ahead-launches.html
http://i.dailymail.co.uk/...D00000578-833_634x458.jpg

Waarschijnlijk is de enige oplossing die gaat werken dat de hardwarefabrikant geen zeggenschap heeft over het OS. Dus de gebruiker kan installeren wat hij/zij wil. Ook weer terug naar een oudere versie.
Je begint sowieso pas te tellen vanaf de dag dat hij in de schappen ligt. Dat is nu ook zo.

En met betrekking tot fabrikanten die met opzet toestellen onklaar maken; dat heeft hier niks mee te maken. Daar zouden eventueel aparte wetgevingen voor kunnen zijn. Maar klaarblijkelijk geven schaapjes er niet genoeg om om het niet meer te kopen, dus ze vinden het allemaal wel prima blijkbaar 8)7
Ook zou de telefoon bij het Update scherm moeten aangeven tot wanneer hij updates krijgt (datum) en met welk interval (maanden).
Heel juist , maar ze zullen moeten worden verplicht...
Waarom alleen smartphones? Zou het niet beter zijn mocht dit voor elk genetwerkt apparaat gelden?
En zet er dan ineens bij dat apparaten van de fabriek uit een mechanisme moet hebben dat (by default) zonder gebruikersinterventie het apparaat update en dat de gebruiker moet weten hoe lang die ondersteuning loopt en een melding moet krijgen als die verstreken is..

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True