HTC America s-a înțeles cu FTC (Comisia Federală a Comerțului) din cauza preocupărilor că compania pune în pericol milioane de informații personale ale clienților cu implementări nesigure de software pe dispozitivele sale. FTC a descoperit că HTC nu a avut o grijă rezonabilă în implementarea celor mai bune practici de codare și securitate atunci când a creat software pentru dispozitivele sale, având în vedere că:
"nu a reușit să ofere personalului său de inginerie o pregătire adecvată în domeniul securității, nu a reușit să revizuiască sau să testeze software-ul pe dispozitivele sale mobile pentru vulnerabilitățile potențiale de securitate, nu a reușit să urmeze practici de codificare sigure cunoscute și acceptate frecvent și nu a reușit să stabilească un proces de primire și adresarea rapoartelor de vulnerabilitate de la terți."
Acestea sunt câteva cuvinte destul de puternice pentru companie, dar acolo unde se lovește cu adevărat de acasă sunt problemele cu care se confruntă consumatorii care au fost cauzate de această lipsă de supraveghere. FTC explică faptul că implementarea HTC Carrier IQ și HTC Logger pe dispozitivele sale a lăsat datele clientului vulnerabile la atac, alături de erorile care ar permite terților să ocolească sistemul de permisiuni încorporat de Android.
A doua parte a plângerii FTC este aceea că consideră că HTC a înșelat în a le spune consumatorilor despre riscurile de securitate ale implementărilor sale software, afirmând că manualele de utilizare ale dispozitivului și interfața aplicației „Tell HTC” au fost înșelătoare. Ambele probleme în implementare se spune că au subminat mecanismul normal de consimțământ al Android care ar fi păstrat în siguranță datele utilizatorului.
Deci ce înseamnă asta pentru HTC? FTC solicită ca compania să dezvolte și să elibereze patch-uri software pentru dispozitivele sale care sunt afectate de aceste vulnerabilități, iar HTC a spus că a lansat deja unele patch-uri în acest moment. Mai mult, HTC va trebui să se supună „evaluărilor independente de securitate” la fiecare 2 ani pentru următorii 20 de ani. De asemenea, HTC i se va interzice să facă declarații înșelătoare cu privire la securitatea dispozitivelor sale și la datele utilizatorului care vor fi transmise.
Aceasta este o constatare destul de mare din partea FTC, dar nu este neapărat neobișnuită. Deși este posibil să nu fi fost exploatări pe scară largă care profitau de aceste gauri de securitate, este important ca HTC să efectueze modificări pentru a ajuta securitatea să meargă înainte. Deși am fi preferat dacă HTC ar fi implementat cele mai bune practici în primul rând, decât să vină la o anchetă a FTC.
Sursa: FTC
