HTC America har afgjort med FTC (Federal Trade Commission) over bekymring for, at virksomheden sætter millioner af kunders personlige oplysninger i fare med usikker implementering af software på dets enheder. FTC fandt, at HTC ikke tog en rimelig mængde omhu med at implementere bedste kodning og sikkerhedspraksis, da de lavede software til sine enheder, idet det havde at sige:
"kunne ikke give sine ingeniører tilstrækkelig sikkerhedstræning, undlod at gennemgå eller teste softwaren på sine mobile enheder for potentielle sikkerhedssårbarheder, kunne ikke følge velkendte og almindeligt accepterede sikre kodningspraksis og undlod at etablere en proces til modtagelse og adressering af sårbarhedsrapporter fra tredjepart."
Det er nogle ret stærke ord for virksomheden, men hvor det virkelig rammer hjemmet, er de problemer, der står over for forbrugerne, der var forårsaget af denne manglende tilsyn. FTC forklarer, at HTCs implementering af Carrier IQ og HTC Logger på dens enheder efterlod kundedata sårbare over for angreb sammen med fejl, der ville lade tredjepart omgå Android's indbyggede tilladelsessystem.
Den anden del af FTC's klage er, at den finder, at HTC var vildledende med at fortælle forbrugerne om sikkerhedsrisikoen ved dens softwareimplementeringer, idet de anførte, at enhedens brugermanualer og interface til "Tell HTC" -appen var vildledende. Begge disse problemer under implementeringen siges at have undergravet den normale samtykkemekanisme for Android, der ville have holdt brugerens data sikre.
Så hvad betyder dette for HTC? FTC kræver, at virksomheden udvikler og frigiver softwarepatcher til sine enheder, der er berørt af disse sårbarheder, og HTC har sagt, at det allerede har frigivet nogle patches på dette tidspunkt. Desuden skal HTC underkaste sig "uafhængige sikkerhedsvurderinger" hvert andet år i de næste 20 år. HTC vil også være forbudt at afgive vildledende udsagn om sikkerheden på dets enheder og brugerdata fremover.
Dette er et ret stort fund fra FTC, men er ikke nødvendigvis usædvanligt. Selvom deres måske ikke har været udbredte udnyttelser, der udnyttede disse sikkerhedshuller, er det vigtigt, at HTC vil foretage ændringer for at hjælpe sikkerheden fremover. Skønt vi ville have foretrukket, hvis HTC implementerede bedste praksis i første omgang, snarere end at det kom til en undersøgelse fra FTC.
Kilde: FTC
