HTC America погодилася з FTC (Федеральною комісією з питань торгівлі) з приводу занепокоєння, що компанія наражає на небезпеку мільйони особистих даних клієнтів при незахищеній реалізації програмного забезпечення на своїх пристроях. FTC встановив, що HTC не проявляв розумної обережності при впровадженні найкращих методів кодування та безпеки при створенні програмного забезпечення для своїх пристроїв, маючи на увазі таке:
"не забезпечила свого інженерного персоналу належної підготовки з безпеки, не змогла переглянути або перевірити програмне забезпечення на своїх мобільних пристроях на предмет потенційних уразливих ситуацій безпеки, не дотримувалася відомих і загальноприйнятих практик безпечного кодування та не змогла встановити процес прийому та звернення до звітів про вразливість від третіх сторін."
Це кілька досить сильних слів для компанії, але там, де вона справді потрапляє додому, - це проблеми зі споживачами, які були викликані цим недоліком нагляду. FTC пояснює, що реалізація HTC Carrier IQ і HTC Logger на своїх пристроях дала клієнтським даних уразливі для атаки, поряд із помилками, які дозволять стороннім сторонам обійти вбудовану систему дозволів Android.
Друга частина скарги FTC полягає в тому, що він виявляє, що HTC був оманливим, коли розповідав споживачам про ризики безпеки його впровадження програмного забезпечення, заявляючи, що керівництво користувача пристрою та інтерфейс програми "Скажіть HTC" вводить в оману. Кажуть, що обидві ці проблеми під час впровадження порушили звичайний механізм згоди Android, який би захищав дані користувачів.
То що це означає для HTC? FTC вимагає, щоб компанія розробила та випустила програмні виправлення для своїх пристроїв, на які постраждали ці вразливості, і HTC заявила, що вже випустила деякі виправлення в цей момент. Крім того, HTC доведеться подавати "незалежні оцінки безпеки" кожні 2 роки протягом наступних 20 років. HTC також буде заборонено робити оманливі заяви щодо безпеки своїх пристроїв та даних користувача, що рухаються вперед.
Це досить велика знахідка від FTC, але це не обов'язково рідко. Хоча вони, можливо, не були широко розповсюдженими подвигами, які скористалися цими отворами в безпеці, важливо, щоб HTC вносив зміни, щоб допомогти безпеці рухатися вперед. Хоча ми б вважали за краще, якби HTC впроваджувала найкращі практики, а не прийшла до розслідування FTC.
Джерело: FTC
