A HTC America megállapodott az FTC-vel (Szövetségi Kereskedelmi Bizottság) azzal a aggodalommal kapcsolatban, hogy a vállalat az ügyfelek személyes adatainak millióit veszélyezteti a szoftverek nem biztonságos implementációjával készülékein. Az FTC megállapította, hogy a HTC nem vette ésszerű óvatosságot a legjobb kódolási és biztonsági gyakorlatok végrehajtása során, amikor készülékeire készített szoftvert hozott létre, mondván:
"nem biztosította a műszaki személyzet számára megfelelő biztonsági képzést, nem vizsgálta felül vagy nem tesztelte a mobil eszközökön lévő szoftvert a lehetséges biztonsági rések szempontjából, nem követte a jól ismert és általánosan elfogadott biztonságos kódolási gyakorlatokat, és nem tudott létrehozni egy folyamatot a harmadik felek sérülékenységi jelentéseinek kezelése."
Ezek néhány nagyon erős szavát jelentenek a vállalat számára, de ahol ez valóban otthont jelent, a fogyasztókkal szembesülő problémák okozták ezt a felügyelet hiányát. Az FTC elmagyarázza, hogy a HTC által a Carrier IQ és a HTC Logger eszközén megvalósított eszköz az ügyfelek adatait támadásoknak kitették, olyan hibák mellett, amelyek lehetővé tennék, hogy harmadik felek megkerüljék az Android beépített engedélyezési rendszerét.
Az FTC panaszának második része az, hogy a HTC megtévesztőnek találta, amikor elmondta a fogyasztóknak a szoftver megvalósításának biztonsági kockázatait, állítva, hogy az eszköz felhasználói kézikönyvei és a „Tell HTC” alkalmazás felülete félrevezetőek. Állítólag mindkét kérdés a végrehajtásban aláásta az Android szokásos jóváhagyási mechanizmusát, amely biztonságban tartotta volna a felhasználói adatokat.
Mit jelent ez a HTC számára? Az FTC megköveteli a társaságtól, hogy fejlesszen ki és engedje el szoftver javításokat az ezen biztonsági rések által érintett eszközök számára, és a HTC azt mondta, hogy ezen a ponton már kiadott néhány javítást. Ezenkívül a HTC-nek a következő 20 évben kétévente "független biztonsági értékeléseket" kell benyújtania. A HTC-nek szintén tilos félrevezető nyilatkozatokat tenni az eszközök biztonságáról és a felhasználói adatokról.
Ez egy nagyon nagy megállapítás az FTC-től, de nem feltétlenül ritka. Noha valószínűleg nem voltak olyan széles körű kizsákmányolások, amelyek kihasználták ezeket a biztonsági lyukakat, fontos, hogy a HTC változtatásokat hajt végre a biztonság előmozdítása érdekében. Még akkor is inkább szeretnénk, ha a HTC elsősorban a legjobb gyakorlatokat hajtja végre, ahelyett, hogy az FTC vizsgálatára indítana volna.
Forrás: FTC
