HTC har i USA inngått et forlik med handelskommisjonen FTC i en sak som dreier seg om manglende sikkerhetsoppdateringer til HTCs nettbrett og smartmobiler.
Mange av HTCs produkter er eller har vært basert på spesialtilpassede utgaver av Android eller Windows Mobile. Også Windows Phone nevnes av FTC, som mener at HTC America ikke har sørget for å ta i bruk en fornuftig og egnet sikkerhetspraksis i forbindelse med designen og tilpasningen av mobilprogramvaren som leveres med selskapets mobile enheter.
I klagen som FTC kom med tidligere i år, heter det at HTC America ikke har sørget for å gi selskapets tekniske stab adekvat sikkerhetsopplæring. Selskapet skal heller ikke lett etter potensielle sårbarheter i programvaren, samt unnlatt å følge velkjent og utbredt praksis for sikker koding. Selskapet skal heller ikke ha etablert noen ordning for å ta imot og håndtere sårbarhetsrapporter fra tredjeparter.
I klagen peker FTC på flere konkrete sårbarheter i programvaren som har blitt funnet i programvaren til HTC-enheter. Dette inkluderer to usikre implementeringer av logg- og diagnoseverktøyene Carrier IQ og HTC Loggers, i tillegg til programmeringsfeil som har gjort det mulig for tredjepartsapplikasjoner å omgå den tillatelsesbaserte sikkerhetsmodellen til Android.
Gjennom forliket, som ble kunngjort fredag i forrige uke, har HTC America forpliktet seg til lage og utgi sikkerhetsoppdateringer som fjerner sårbarheter som i dag berører millioner av mobil- og nettbrettbrukere. HTC America skal også etablere et omfattende sikkerhetsprogram for å kunne håndtere framtidige sikkerhetsrisikoer. Dessuten har selskapet forpliktet seg til å bli sikkerhetsrevidert av en uavhengig aktør hvert annet år i de neste 20 årene.
HTC er ifølge forliket forpliktet til å utgi egnede sikkerhetsfikser i løpet av 30 dager. Disse skal enten tilbys direkte til de berørte enhetene eller for utrulling via mobiloperatøren som har solgt enheten.
Det amerikanske forliket har sannsynligvis ingen direkte betydning for HTCs kunder i andre land enn USA, men det kan kanskje inspirere for eksempel handels- og forbrukermyndigheter i andre land til å stille tilsvarende krav, både til HTC og andre leverandører som unnlater å gjøre alt de kan for å tilby sikkerhetsoppdateringer så raskt som mulig til kundenes enheter.
Les også:
- [20.12.2012] Samsung lover snarlig sikkerhetfiks
- [27.09.2012] Alle Android-mobiler kan være berørt
- [02.12.2011] Carrier IQ kan være storm i vannglass
- [24.11.2010] Sårbarhet i Android åpner for datatyverier