HTC America har kommit överens med FTC (Federal Trade Commission) om oro över att företaget utsätter miljontals kunders personliga information med osäkra implementeringar av programvara på sina enheter. FTC fann att HTC inte tog någon rimlig försiktighet när det gäller att implementera bästa kodnings- och säkerhetspraxis när de skapade programvara för sina enheter med detta att säga:
"misslyckades med att tillhandahålla sin tekniska personal tillräcklig säkerhetsutbildning, misslyckades med att granska eller testa programvaran på sina mobila enheter för potentiella säkerhetsproblem, misslyckades med att följa välkända och allmänt accepterade säker kodningssätt och misslyckades med att upprätta en process för mottagande och adressering av sårbarhetsrapporter från tredje parter."
Det är några ganska starka ord för företaget, men där det verkligen träffar hem är de konsumentfrågor som orsakades av denna brist på tillsyn. FTC förklarar att HTC: s implementering av Carrier IQ och HTC Logger på dess enheter lämnade kunddata sårbara för attacker, tillsammans med fel som skulle låta tredjeparter kringgå Android: s inbyggda behörighetssystem.
Den andra delen av FTC: s klagomål är att den anser att HTC var vilseledande när han berättade för konsumenterna om säkerhetsriskerna för programvaruimplementeringarna, där de uppger att användarmanualerna för enheten och gränssnittet för appen "Tell HTC" var vilseledande. Båda dessa problem under implementeringen sägs ha undergrävat den normala samtycksmekanismen för Android som skulle ha hållit användarens data säkra.
Så vad betyder detta för HTC? FTC kräver att företaget utvecklar och släpper programvarupatcher för sina enheter som påverkas av dessa sårbarheter, och HTC har sagt att det redan har släppt några korrigeringar vid denna tidpunkt. Dessutom måste HTC underkasta sig "oberoende säkerhetsanalyser" vartannat år under de kommande 20 åren. HTC kommer också att förbjudas att lämna vilseledande uttalanden om säkerheten för sina enheter och användardata framöver.
Detta är ett ganska stort fynd från FTC, men är inte nödvändigtvis ovanligt. Även om deras kanske inte har varit utbredda exploater som utnyttjade dessa säkerhetshål, är det viktigt att HTC kommer att göra förändringar för att hjälpa säkerheten framöver. Även om vi skulle ha föredragit om HTC implementerade bästa praxis i första hand snarare än att det skulle komma till en utredning av FTC.
Källa: FTC
