HTC America uzgodniło z FTC (Federalną Komisją Handlu) obawy, że firma naraża miliony danych osobowych klientów na niepewne wdrożenia oprogramowania na swoich urządzeniach. FTC stwierdził, że HTC nie dołożył należytej staranności przy wdrażaniu najlepszych praktyk kodowania i bezpieczeństwa podczas tworzenia oprogramowania dla swoich urządzeń, mówiąc:
„nie zapewnił personelowi inżynierskiemu odpowiedniego przeszkolenia w zakresie bezpieczeństwa, nie dokonał przeglądu ani nie przetestował oprogramowania na urządzeniach mobilnych pod kątem potencjalnych luk w zabezpieczeniach, nie postępował zgodnie ze znanymi i powszechnie akceptowanymi praktykami bezpiecznego kodowania oraz nie ustanowił procesu odbierania i zajmowanie się raportami podatności stron trzecich ”.
Są to dość mocne słowa dla firmy, ale to, co naprawdę dociera do domu, to problemy stojące przed konsumentami, które zostały spowodowane tym brakiem nadzoru. FTC wyjaśnia, że wdrożenie przez HTC Carrier IQ i HTC Logger na swoich urządzeniach naraziło dane klientów na atak, a także błędy, które pozwoliłyby stronom trzecim ominąć wbudowany system uprawnień Androida.
Druga część skargi FTC polega na tym, że uważa, że HTC oszukańczo informowało konsumentów o zagrożeniach bezpieczeństwa związanych z implementacjami oprogramowania, stwierdzając, że instrukcje obsługi urządzenia i interfejs aplikacji „Tell HTC” wprowadzają w błąd. Mówi się, że oba te problemy podważają normalny mechanizm zgody Androida, który zapewniłby bezpieczeństwo danych użytkownika.
Co to oznacza dla HTC? FTC wymaga, aby firma opracowała i wydała poprawki oprogramowania dla swoich urządzeń, które są dotknięte tymi lukami, a HTC powiedział, że już wydał kilka poprawek w tym momencie. Ponadto HTC będzie musiał poddawać się „niezależnym ocenom bezpieczeństwa” co 2 lata przez następne 20 lat. HTC nie będzie również mogło wprowadzać w błąd oświadczeń dotyczących bezpieczeństwa swoich urządzeń i danych użytkowników w przyszłości.
Jest to dość duże odkrycie z FTC, ale niekoniecznie jest rzadkie. Chociaż nie były to szeroko rozpowszechnione exploity wykorzystujące te luki w zabezpieczeniach, ważne jest, aby HTC wprowadził zmiany, które pomogą zwiększyć bezpieczeństwo. Chociaż wolelibyśmy, gdyby HTC wdrożyło najlepsze praktyki, zamiast dochodzenia przez FTC.
Źródło: FTC
