HTC Amerika heeft met de FTC (Federal Trade Commission) een schikking getroffen over de bezorgdheid dat het bedrijf miljoenen persoonlijke gegevens van klanten in gevaar bracht met onveilige implementaties van software op haar apparaten. De FTC constateerde dat HTC bij het maken van software voor zijn apparaten geen redelijke zorg besteedde aan het implementeren van de beste coderings- en beveiligingspraktijken, te weten:
"heeft zijn technisch personeel geen adequate beveiligingstraining gegeven, de software op zijn mobiele apparaten niet kunnen beoordelen of testen op mogelijke beveiligingskwetsbaarheden, heeft geen bekende en algemeen aanvaarde veilige coderingsmethoden gevolgd en is er geen proces opgezet voor het ontvangen en aanpakken van kwetsbaarheidsrapporten van derden."
Dat zijn een paar vrij krachtige woorden voor het bedrijf, maar waar het echt opvalt, zijn de consumentenproblemen die door dit gebrek aan toezicht werden veroorzaakt. De FTC legt uit dat HTC's implementatie van Carrier IQ en HTC Logger op zijn apparaten klantgegevens kwetsbaar maakte voor aanvallen, naast fouten waardoor derden het ingebouwde machtigingssysteem van Android konden omzeilen.
Het tweede deel van de klacht van de FTC is dat het HTC bedriegt door consumenten te vertellen over de beveiligingsrisico's van haar software-implementaties, en dat de gebruikershandleidingen en de interface van de "Tell HTC" -app misleidend waren. Beide problemen bij de implementatie zouden het normale toestemmingsmechanisme van Android hebben ondermijnd dat de gegevens van gebruikers veilig zou hebben gehouden.
Dus wat betekent dit voor HTC? De FTC vereist dat het bedrijf softwarepatches ontwikkelt en uitgeeft voor zijn apparaten die met deze kwetsbaarheden te maken hebben en HTC heeft gezegd dat het op dit moment al enkele patches heeft uitgegeven. Bovendien zal HTC zich de komende 20 jaar om de twee jaar moeten onderwerpen aan "onafhankelijke veiligheidsbeoordelingen". Het is HTC ook verboden misleidende uitspraken te doen over de beveiliging van zijn apparaten en gebruikersgegevens.
Dit is een vrij grote bevinding van de FTC, maar is niet noodzakelijk ongewoon. Hoewel het misschien geen wijdverspreide exploits zijn geweest die gebruik hebben gemaakt van deze beveiligingslekken, is het belangrijk dat HTC wijzigingen gaat aanbrengen om de beveiliging in de toekomst te helpen. Hoewel we liever hadden gezien dat HTC in de eerste plaats best practices implementeerde, in plaats van dat het door de FTC zou worden onderzocht.
Bron: FTC
