HTC America согласилась с FTC (Федеральная торговая комиссия) из-за опасений, что компания подвергает риску миллионы персональных данных клиентов из-за небезопасных реализаций программного обеспечения на своих устройствах. FTC обнаружил, что HTC не уделяет должного внимания внедрению наилучших методов кодирования и безопасности при создании программного обеспечения для своих устройств, говоря следующее:
«не предоставил своим инженерным работникам адекватную подготовку по вопросам безопасности, не проверил или не протестировал программное обеспечение на своих мобильных устройствах на предмет потенциальных уязвимостей в системе безопасности, не выполнил широко известные и общепринятые методы безопасного кодирования и не смог установить процесс для получения и устранение сообщений об уязвимостях от третьих лиц."
Это довольно сильные слова для компании, но на самом деле она поражает своими проблемами, связанными с потребителями, которые были вызваны отсутствием контроля. FTC объясняет, что реализация HTC Carrier IQ и HTC Logger на своих устройствах сделала данные клиентов уязвимыми для атак, наряду с ошибками, которые позволили бы третьим сторонам обходить встроенную систему разрешений Android.
Вторая часть жалобы FTC заключается в том, что компания HTC вводит в заблуждение, рассказывая потребителям о рисках безопасности своих программных реализаций, заявляя, что руководства пользователя устройства и интерфейс приложения «Скажите HTC» вводят в заблуждение. Утверждается, что обе эти проблемы в реализации подорвали нормальный механизм согласия Android, который сохранял бы данные пользователя в безопасности.
Так что это значит для HTC? FTC требует, чтобы компания разработала и выпустила исправления программного обеспечения для своих устройств, которые подвержены этим уязвимостям, и HTC заявила, что уже выпустила некоторые исправления к этому моменту. Кроме того, в течение следующих 20 лет HTC придется сдавать «независимые оценки безопасности» каждые 2 года. HTC также будет запрещено делать вводящие в заблуждение заявления о безопасности своих устройств и данных пользователя в будущем.
Это довольно большая находка из FTC, но не обязательно редкость. Хотя они, возможно, и не были широко распространенными эксплойтами, в которых использовались эти дыры в безопасности, важно, чтобы HTC собиралась внести изменения, чтобы способствовать безопасности в будущем. Хотя мы бы предпочли, чтобы HTC в первую очередь применял лучшие практики, а не расследовал FTC.
Источник: FTC
