De American Civil Liberties Union heeft vandaag een klacht (pdf) gepubliceerd die zij heeft ingediend bij de Federal Trade Commission, op zoek naar een onderzoek naar de praktijk van de grote Amerikaanse luchtvaartmaatschappijen om de smartphones die zij verkopen om veiligheidsredenen. 'Android-smartphones', zo luidt de klacht van 16 pagina's, 'die geen regelmatige, snelle beveiligingsupdates ontvangen, zijn defect en onredelijk gevaarlijk.'
Chris Soghoian, hoofdtechnoloog en senior beleidsanalist voor de ACLU op het gebied van spraak, privacy en technologie, volgde in een blogpost het volgende op:
Het Android-besturingssysteem van Google heeft nu meer dan 75% van de smartphonemarkt, maar de meeste van deze apparaten gebruiken software die verouderd is, vaak met bekende, exploiteerbare beveiligingsproblemen die niet zijn gepatcht. Voor consumenten die deze apparaten gebruiken, is er geen legitiem pad voor software-upgrades.
Het gaat om het proces waarin het proces werkt. Google levert de Android-code - inclusief updates voor bugs en beveiligingsoplossingen - maar het is aan de hardwarefabrikanten om eventuele wijzigingen door te voeren en de providers om deze goed te keuren en uiteindelijk te verwijderen. Het is een langdurig, rommelig proces dat niemand met echt effect leek te verbeteren - althans niet tot tevredenheid van de ACLU, of een minderheid maar vocale factie van het kopende publiek.
De ACLU vraagt, naast een onderzoek naar onder meer Verizon, Sprint, T-Mobile en AT&T, specifiek om verschillende dingen:
- Voor providers om "alle abonnees die door providers geleverde Android-smartphones met bekende, niet-gepaarde beveiligingslekken te waarschuwen, te waarschuwen voor het bestaan en de ernst van de kwetsbaarheden, evenals alle redelijke stappen die consumenten kunnen nemen om zichzelf te beschermen, inclusief het kopen van een andere smartphone." Verscholen in de andere leagalese die uit elke smartphonewinkel wordt gegooid, zou dat waarschijnlijk niet zo'n groot verschil maken. Maar stel je voor dat er eigenlijk een grote hazmat-sticker op je telefoon zat.
- Sta klanten met een contract toe om dat contract vroegtijdig te beëindigen (zonder boete) als hun telefoon "geen snelle, regelmatige beveiligingsupdates heeft ontvangen". Dat is nog steeds een relatief open einde, hoewel het zeker van toepassing zou zijn op sommige van de meer low-end apparaten die er zijn.
- Geef je een terugbetaling of omruiling (inclusief het omschakelen van fabrikanten en platforms) naar een ander apparaat dat wel "snelle, regelmatige updates" ontvangt.
Deze upgradeproblemen zijn natuurlijk niet platformbreed. De meer high-end, populaire telefoons hebben de neiging om meer aandacht te krijgen. En de eigen "Nexus" -telefoons van Google, behalve de Galaxy Nexus op Sprint of Verizon, zijn hier immuun voor en ontvangen updates rechtstreeks van Google en niet van providers. De ACLU neemt dit allemaal correct op.
Hoewel we de ACLU waarderen die probeert de spreekwoordelijke voeten van de vervoerders tegen het vuur te houden, stelt de klacht van de ACLU alleen dezelfde vragen die iemand die bekend is, nu al voor meerdere upgradecycli heeft gevraagd. Hoofdzakelijk,
- Wat is een "snelle" update? We hebben beveiligingsoplossingen op meerdere providers in een maand zien uitrollen. We hebben anderen zien wachten op grotere onderhoudsreleases. Wie mag beslissen wat "snel" is?
- Wat is een "regelmatig" updateschema?
- Wat is realistisch - technisch en financieel - voor "snelle" en "regelmatige" updates? Er is geen pariteit in de smartphonewereld.
- Is er iets dat Google of de individuele fabrikanten kunnen doen om het updateproces te versnellen?
En die zijn gewoon uit ons hoofd. Nogmaals, we zijn het eens met de ACLU dat beveiliging - en beveiligingsupdates - van het grootste belang zijn. En dat de ACLU de hel verhoogt, is een goede zaak, zelfs als de FTC niet verplicht is iets te doen. Meer van ons zouden dat moeten doen, of het nu petities zijn, formele klachten - of via onze favoriete methode, stemmen met uw portemonnee.
