HTC America hat sich mit der FTC (Federal Trade Commission) über Bedenken geeinigt, dass das Unternehmen durch unsichere Implementierungen von Software auf seinen Geräten Millionen von persönlichen Kundeninformationen gefährdet. Die FTC stellte fest, dass HTC bei der Erstellung von Software für seine Geräte keine angemessene Sorgfalt bei der Umsetzung der besten Kodierungs- und Sicherheitspraktiken angewendet hat.
"versäumte es, seinem technischen Personal angemessene Sicherheitsschulungen anzubieten, die Software auf seinen Mobilgeräten nicht auf potenzielle Sicherheitslücken zu überprüfen oder zu testen, bekannte und allgemein akzeptierte sichere Codierungspraktiken nicht zu befolgen und keinen Prozess für den Empfang und die Weitergabe von Informationen einzurichten Ansprechen von Schwachstellenmeldungen von Dritten."
Das sind einige ziemlich starke Worte für das Unternehmen, aber wo es wirklich gut ankommt, sind die verbraucherorientierten Probleme, die durch diesen Mangel an Kontrolle verursacht wurden. Die FTC erklärt, dass die Implementierung von Carrier IQ und HTC Logger auf den Geräten von HTC die Kundendaten anfällig für Angriffe gemacht hat, zusammen mit Fehlern, durch die Dritte das integrierte Berechtigungssystem von Android umgehen könnten.
Der zweite Teil der FTC-Beschwerde ist, dass HTC die Verbraucher irreführend über die Sicherheitsrisiken seiner Software-Implementierungen informiert hat, da die Benutzerhandbücher und die Benutzeroberfläche der "Tell HTC" -App irreführend waren. Beide Probleme bei der Implementierung hätten den normalen Einwilligungsmechanismus von Android untergraben, der die Sicherheit der Benutzerdaten gewährleistet hätte.
Was bedeutet das für HTC? Die FTC schreibt vor, dass das Unternehmen Software-Patches für seine Geräte entwickelt und veröffentlicht, die von diesen Sicherheitsanfälligkeiten betroffen sind, und HTC hat bereits einige Patches veröffentlicht. Darüber hinaus muss HTC in den nächsten 20 Jahren alle zwei Jahre "unabhängige Sicherheitsbewertungen" einreichen. HTC ist es auch untersagt, in Zukunft irreführende Aussagen über die Sicherheit seiner Geräte und Benutzerdaten zu machen.
Dies ist ein ziemlich großer Befund der FTC, aber nicht unbedingt ungewöhnlich. Obwohl es sich möglicherweise nicht um weit verbreitete Exploits handelt, bei denen diese Sicherheitslücken ausgenutzt wurden, ist es wichtig, dass HTC Änderungen vornimmt, um die Sicherheit in Zukunft zu verbessern. Wir hätten es jedoch vorgezogen, wenn HTC in erster Linie Best Practices implementiert hätte, anstatt eine Untersuchung durch die FTC durchzuführen.
Quelle: FTC
