Amerykańska Unia Wolności Obywatelskich opublikowała dziś skargę (pdf) złożoną do Federalnej Komisji Handlu, szukając dochodzenia w sprawie praktyki głównych amerykańskich przewoźników polegającej na aktualizacji - lub, co więcej, nie regularnej aktualizacji - smartfonów, które oni sprzedawać ze względów bezpieczeństwa. „Smartfony z Androidem”, głosi 16-stronicowa skarga, „które nie otrzymują regularnych, szybkich aktualizacji zabezpieczeń są wadliwe i nieuzasadnione niebezpieczne”.
Chris Soghoian, główny technolog i starszy analityk ds. Polityki ACLU w zakresie mowy, prywatności i technologii, w odpowiedzi na post na blogu, wyjaśniając:
System operacyjny Android firmy Google ma obecnie ponad 75% rynku smartfonów, jednak na większości tych urządzeń działa nieaktualne oprogramowanie, często ze znanymi, możliwymi do wykorzystania lukami bezpieczeństwa, które nie zostały załatane. Dla klientów korzystających z tych urządzeń nie ma legalnej ścieżki aktualizacji oprogramowania.
Kwestią jest proces, w którym proces ten działa. Google zapewnia kod Androida - w tym aktualizacje błędów i poprawek bezpieczeństwa - ale to producenci sprzętu muszą wprowadzić wszelkie zmiany, a operatorzy muszą je zatwierdzić i ostatecznie wypchnąć. Jest to długi, chaotyczny proces, którego nikt nie wydawał się w stanie poprawić z prawdziwym skutkiem - przynajmniej nie ku zadowoleniu ACLU lub mniejszościowej, ale głośnej frakcji kupujących.
ACLU, oprócz dochodzenia w sprawie Verizon, Sprint, T-Mobile i AT&T, w szczególności wzywa do kilku rzeczy:
- Aby przewoźnicy „ostrzegali wszystkich subskrybentów korzystających ze smartfonów z systemem Android dostarczonych przez operatora ze znanymi, niezakończonymi lukami w zabezpieczeniach o istnieniu i ich ważności, a także o wszelkich uzasadnionych krokach, jakie konsumenci mogą podjąć w celu ochrony, w tym kupując inny smartfon”. Umieszczony w innym leagalese, który jest wyrzucany z dowolnego pudełka na smartfony, prawdopodobnie nie zrobiłby tak dużej różnicy. Ale wyobraź sobie, że w telefonie była duża naklejka Hazmat.
- Pozwól klientom, którzy są objęci umową, na wcześniejsze zakończenie umowy (bez kary), jeśli ich telefon „nie otrzyma szybkich, regularnych aktualizacji zabezpieczeń”. Nadal jest to stosunkowo otwarte, choć z pewnością dotyczyłoby niektórych urządzeń z niższej półki.
- Zwrot środków lub wymiana (w tym zmiana producenta i platformy) na inne urządzenie, które otrzymuje „szybkie, regularne aktualizacje”.
Te obawy dotyczące aktualizacji nie dotyczą oczywiście całej platformy. Popularniejsze telefony z wyższej półki zwykle przyciągają więcej uwagi. A telefony Google „Nexus”, z wyjątkiem Galaxy Nexus na Sprint lub Verizon, są na to odporne, otrzymując aktualizacje bezpośrednio od Google, a nie od operatorów. ACLU poprawnie odnotowuje to wszystko.
Doceniamy, że ACLU próbuje utrzymać przysłowiowe stopy przewoźników w ogniu, skarga ACLU zadaje tylko te same pytania, które każdy znajomy zadał teraz w licznych cyklach ulepszeń. Głównie,
- Co to jest „szybka” aktualizacja? W ciągu miesiąca widzieliśmy poprawki zabezpieczeń dla wielu przewoźników. Widzieliśmy, jak inni czekają na większe wydania serwisowe. Kto może zdecydować, co jest „podpowiedź”?
- Co to jest „regularny” harmonogram aktualizacji?
- Co jest realistyczne - pod względem technicznym i finansowym - w przypadku „szybkich” i „regularnych” aktualizacji? W świecie smartfonów nie ma parzystości.
- Czy istnieje coś, co Google lub poszczególni producenci mogą zrobić, aby przyspieszyć proces aktualizacji?
A te są tuż poza naszymi głowami. Ponownie zgadzamy się z ACLU, że bezpieczeństwo - i aktualizacje bezpieczeństwa - mają ogromne znaczenie. A to, że ACLU wznieca piekło, jest dobrą rzeczą, nawet jeśli FTC nie jest zobowiązana do robienia czegokolwiek. Więcej z nas powinno to robić, niezależnie od tego, czy chodzi o petycje, formalne skargi - czy naszą ulubioną metodą, głosując z portfela.
