La American Civil Liberties Union publicó hoy una queja (pdf) que presentó ante la Comisión Federal de Comercio, buscando una investigación sobre la práctica de los principales operadores estadounidenses de actualizar, o más concretamente, no actualizar regularmente, los teléfonos inteligentes que vendo por razones de seguridad. Los "teléfonos inteligentes Android", se lee en la queja de 16 páginas, "que no reciben actualizaciones de seguridad rápidas y regulares son defectuosos e irrazonablemente peligrosos".
Chris Soghoian, tecnólogo principal y analista principal de políticas de la ACLU sobre discurso, privacidad y tecnología, hizo un seguimiento en una publicación de blog, explicando:
El sistema operativo Android de Google ahora tiene más del 75% del mercado de teléfonos inteligentes, sin embargo, la mayoría de estos dispositivos están ejecutando software que está desactualizado, a menudo con vulnerabilidades de seguridad explotables conocidas que no han sido reparadas. Para los consumidores que ejecutan estos dispositivos, no existe una ruta de actualización de software legítima.
El problema es el proceso en el que funciona el proceso. Google proporciona el código de Android, incluidas las actualizaciones para errores y correcciones de seguridad, pero corresponde a los fabricantes de hardware implementar cualquier cambio, y a los operadores a aprobar y finalmente eliminar esos cambios. Es un proceso largo y desordenado que nadie parece haber podido mejorar con ningún efecto real, al menos no para satisfacción de la ACLU, o de una facción minoritaria pero vocal del público comprador.
La ACLU, además de buscar una investigación sobre personas como Verizon, Sprint, T-Mobile y AT&T, específicamente pide varias cosas:
- Para que los operadores "adviertan a todos los suscriptores que usan teléfonos inteligentes Android suministrados por operadores con vulnerabilidades de seguridad conocidas y sin parches sobre la existencia y la gravedad de las vulnerabilidades, así como cualquier medida razonable que esos consumidores puedan tomar para protegerse, incluida la compra de un teléfono inteligente diferente". Metido en el otro leagalés que se arroja desde cualquier caja de venta de teléfonos inteligentes, eso probablemente no haría una gran diferencia. Pero imagina si básicamente hubiera una gran pegatina de materiales peligrosos en tu teléfono.
- Permita que los clientes que tienen contrato terminen ese contrato antes de tiempo (sin penalización) si su teléfono "no ha recibido actualizaciones de seguridad rápidas y regulares". Eso sigue siendo relativamente abierto, aunque ciertamente se aplicaría a algunos de los dispositivos de gama más baja que existen.
- Darle un reembolso o cambio (incluido el cambio de fabricantes y plataformas) a otro dispositivo que reciba "actualizaciones rápidas y periódicas".
Estas preocupaciones de actualización no abarcan toda la plataforma, por supuesto. Los teléfonos más populares y de alta gama tienden a recibir más atención. Y los propios teléfonos "Nexus" de Google, a excepción del Galaxy Nexus en Sprint o Verizon, son inmunes a esto y obtienen actualizaciones directamente de Google y no de los operadores. La ACLU anota correctamente todo esto.
Si bien apreciamos que la ACLU intente mantener los proverbiales pies de los transportistas al fuego, la queja de la ACLU simplemente hace las mismas preguntas que cualquier persona conocida ha preguntado por numerosos ciclos de actualización ahora. Principalmente,
- ¿Qué es una actualización "rápida"? Hemos visto soluciones de seguridad en múltiples operadores en un mes. Hemos visto a otros esperar grandes versiones de mantenimiento. ¿Quién decide qué es "pronta"?
- ¿Qué es un programa de actualización "regular"?
- ¿Qué es realista, técnica y financieramente, para las actualizaciones "rápidas" y "regulares"? No hay paridad en el mundo de los teléfonos inteligentes.
- ¿Hay algo que Google o los fabricantes individuales puedan hacer para acelerar el proceso de actualización?
Y esos están justo en la parte superior de nuestra cabeza. Nuevamente, estamos de acuerdo con la ACLU en que la seguridad, y las actualizaciones de seguridad, son de suma importancia. Y que la ACLU está causando estragos es algo bueno, incluso si la FTC no está obligada a hacer nada. Más de nosotros deberíamos hacer eso, ya sean peticiones, quejas formales, o mediante nuestro método favorito, votar con su billetera.
