HTC America sa vysporiadala s FTC (Federal Trade Commission) kvôli obavám, že spoločnosť ohrozila milióny osobných údajov zákazníka neistými implementáciami softvéru do svojich zariadení. FTC zistila, že spoločnosť HTC pri vytváraní softvéru pre svoje zariadenia nevenovala primeranú pozornosť implementácii najlepších postupov v oblasti kódovania a zabezpečenia, pričom uviedla toto:
„neposkytli svojim inžinierskym pracovníkom primerané školenie v oblasti zabezpečenia, neprekonali kontrolu ani testovali softvér na svojich mobilných zariadeniach z hľadiska potenciálnych slabých miest v zabezpečení, nedodržali všeobecne známe a všeobecne akceptované postupy bezpečného kódovania a nezaviedli proces prijímania a riešenie správ o zraniteľnosti od tretích strán. ““
Toto sú niektoré dosť silné slová pre spoločnosť, ale tam, kde to skutočne zasiahne domov, sú problémy orientované na spotrebiteľa, ktoré boli spôsobené týmto nedostatkom dohľadu. FTC vysvetľuje, že implementácia zariadení Carrier IQ a HTC Logger spoločnosti HTC do svojich zariadení spôsobila, že údaje o zákazníkoch boli zraniteľné voči útokom, spolu s chybami, ktoré umožnili tretím stranám obísť zabudovaný systém povolení pre systém Android.
Druhou časťou sťažnosti FTC je, že zistí, že spoločnosť HTC bola klamlivá pri informovaní spotrebiteľov o bezpečnostných rizikách jej softvérových implementácií, pričom uviedla, že používateľské príručky zariadenia a rozhranie aplikácie „Tell HTC“ boli zavádzajúce. Uvádza sa, že oba tieto problémy pri implementácii narušili normálny mechanizmus súhlasu systému Android, ktorý by zabezpečil bezpečnosť údajov používateľa.
Čo to znamená pre HTC? FTC vyžaduje, aby spoločnosť vyvíjala a vydávala softvérové opravy pre svoje zariadenia, ktoré sú ovplyvnené týmito zraniteľnými vlastnosťami, a spoločnosť HTC uviedla, že v tejto chvíli už vydala niektoré opravy. Okrem toho bude spoločnosť HTC musieť počas nasledujúcich 20 rokov podliehať „nezávislému hodnoteniu bezpečnosti“ každé 2 roky. HTC bude tiež zakázané vydávať zavádzajúce vyhlásenia o bezpečnosti svojich zariadení a údajoch používateľov v budúcnosti.
Toto je docela veľký nález z FTC, ale nie je to nevyhnutne neobvyklé. Aj keď to možno neboli rozšírené výhody, ktoré využívali tieto bezpečnostné diery, je dôležité, aby HTC uskutočnil zmeny, ktoré pomôžu v ďalšom zabezpečení. Uprednostnili by sme však, keby spoločnosť HTC v prvom rade implementovala osvedčené postupy, než aby dospela k vyšetrovaniu zo strany FTC.
Zdroj: FTC
