Uniunea Americană pentru Libertăți Civile a publicat astăzi o plângere (pdf) pe care a depus-o la Comisia Federală de Comerț, solicitând o anchetă privind practicile marilor transportatori din SUA de a actualiza - sau, mai mult, până la urmă, să nu actualizeze în mod regulat - smartphone-urile pe care le vinde din motive de securitate. „Smartphone-urile Android”, se arată în reclamația de 16 pagini, „care nu primesc actualizări de securitate rapide, prompte, sunt defecte și nejustificat de periculoase”.
Chris Soghoian, tehnolog principal și analist principal de politici pentru ACLU în vorbire, confidențialitate și tehnologie, a urmat într-o postare pe blog, explicând:
Sistemul de operare Android al Google are acum peste 75% din piața smartphone-urilor, cu toate acestea, majoritatea acestor dispozitive rulează software care nu este actualizat, adesea cu vulnerabilități de securitate cunoscute, exploatabile, care nu au fost patchate. Pentru consumatorii care rulează aceste dispozitive, nu există o cale de actualizare software legitimă.
În discuție este procesul în care funcționează procesul. Google furnizează codul Android - incluzând actualizări pentru bug-uri și corecții de securitate -, însă producătorilor de hardware trebuie să implementeze orice modificări, iar operatorii să aprobe și, în cele din urmă, să le elimine. Este un proces îndelungat și dezordonat, pe care nimeni nu a părut capabil să-l îmbunătățească cu vreun efect real - cel puțin nu spre satisfacția ACLU, sau a unei facțiuni minoritare, dar vocale a publicului cumpărător.
ACLU, pe lângă faptul că solicită o anchetă în legătură cu Verizon, Sprint, T-Mobile și AT&T, solicită în mod special mai multe lucruri:
- Pentru operatorii de transport „să avertizeze toți abonații care folosesc smartphone-uri Android furnizate de operatori cu vulnerabilități de securitate cunoscute și nepatronate despre existența și gravitatea vulnerabilităților, precum și orice măsuri rezonabile pe care consumatorii le pot lua pentru a se proteja, inclusiv achiziționarea unui smartphone diferit.” Încercat în cealaltă leagaleză care este aruncată de pe orice cutie de vânzare cu amănuntul pentru smartphone, asta probabil nu ar face o diferență atât de mare. Dar imaginați-vă dacă în telefon există un autocolant hazmat mare pe telefon.
- Permiteți clienților care au contract să încheie acel contract din timp (fără penalități) dacă telefonul lor „nu a primit actualizări de securitate rapide și regulate”. Acesta este încă relativ deschis, deși, cu siguranță, s-ar aplica și la unele dintre cele mai mici dispozitive de acolo.
- Oferiți o rambursare sau schimb (inclusiv producători și platforme de comutare) către un alt dispozitiv care primește „actualizări rapide și regulate”.
Bineînțeles, aceste probleme de actualizare nu sunt la nivel de platformă. Telefoanele mai performante și populare tind să primească mai multă atenție. Și propriile telefoane Google „Nexus”, cu excepția Galaxy Nexus de pe Sprint sau Verizon, sunt imune la acest aspect, primind actualizări direct de la Google și nu transportatori. ACLU notează corect toate acestea.
În timp ce apreciem ACLU care încearcă să țină picioarele proverbiale ale transportatorilor la foc, reclamația ACLU nu face decât să pună aceleași întrebări, oricine știe că a cerut numeroase cicluri de actualizare acum. În principal,
- Ce este o actualizare „promptă”? Am văzut corecții de securitate care se derulează pe mai mulți operatori de transport într-o lună. Am văzut că alții așteaptă versiuni mai mari de întreținere. Cine ajunge să decidă ce este „prompt?”
- Ce este un program de actualizare „regulat”?
- Ce este realist - tehnic și financiar - pentru actualizări „prompte” și „regulate”? Nu există nicio paritate în lumea smartphone-urilor.
- Există ceva pe care Google sau producătorii individuali pot face pentru a accelera procesul de actualizare?
Și acestea sunt chiar din vârful capului nostru. Din nou, suntem de acord cu ACLU că securitatea - și actualizările de securitate - sunt de cea mai mare importanță. Și faptul că ACLU crește iadul este un lucru bun, chiar dacă FTC nu este obligat să facă nimic. Mai mulți dintre noi ar trebui să facă asta, fie că este vorba de petiții, reclamații formale - sau prin metoda noastră preferată, votând cu portofelul.
