A HTC America concordou com a FTC (Federal Trade Commission) por preocupações de que a empresa ponha em risco milhões de informações pessoais de clientes com implementações inseguras de software em seus dispositivos. A FTC descobriu que a HTC não tomou um cuidado razoável na implementação das melhores práticas de codificação e segurança ao criar software para seus dispositivos, com o seguinte:
"falhou em fornecer à equipe de engenharia treinamento de segurança adequado, falhou em revisar ou testar o software em seus dispositivos móveis quanto a possíveis vulnerabilidades de segurança, falhou em seguir práticas de codificação segura conhecidas e comumente aceitas e falhou em estabelecer um processo para receber e abordar relatórios de vulnerabilidade de terceiros ".
Essas são algumas palavras bastante fortes para a empresa, mas o que realmente impressiona são os problemas enfrentados pelos consumidores que foram causados por essa falta de supervisão. A FTC explica que a implementação do Carrier IQ e do HTC Logger da HTC em seus dispositivos deixou os dados do cliente vulneráveis a ataques, juntamente com erros que permitiriam que terceiros ignorassem o sistema de permissões interno do Android.
A segunda parte da reclamação da FTC é que ela considera enganosa ao informar os consumidores sobre os riscos à segurança de suas implementações de software, afirmando que os manuais do usuário do dispositivo e a interface do aplicativo "Tell HTC" eram enganosos. Diz-se que esses dois problemas de implementação minaram o mecanismo de consentimento normal do Android, que manteria os dados do usuário em segurança.
Então, o que isso significa para a HTC? A FTC está exigindo que a empresa desenvolva e libere patches de software para seus dispositivos afetados por essas vulnerabilidades, e a HTC afirmou que já lançou alguns patches neste momento. Além disso, a HTC terá que se submeter a "avaliações de segurança independentes" a cada 2 anos pelos próximos 20 anos. A HTC também será proibida de fazer declarações enganosas sobre a segurança de seus dispositivos e os dados do usuário no futuro.
Esta é uma descoberta bastante grande da FTC, mas não é necessariamente incomum. Embora possam não ter sido explorações generalizadas que estavam aproveitando essas falhas de segurança, é importante que a HTC faça alterações para ajudar a segurança no futuro. Embora tivéssemos preferido se a HTC estivesse implementando as melhores práticas em primeiro lugar, em vez de ser investigada pela FTC.
Fonte: FTC
