HTC America se ha conformado con la FTC (Comisión Federal de Comercio) por la preocupación de que la compañía ponga en riesgo la información personal de millones de clientes con implementaciones inseguras de software en sus dispositivos. La FTC descubrió que HTC no tuvo un cuidado razonable al implementar las mejores prácticas de codificación y seguridad al crear software para sus dispositivos, diciendo lo siguiente:
"no proporcionó a su personal de ingeniería la capacitación adecuada en seguridad, no revisó ni probó el software en sus dispositivos móviles para detectar posibles vulnerabilidades de seguridad, no siguió las prácticas de codificación segura conocidas y comúnmente aceptadas, y no pudo establecer un proceso para recibir y abordar informes de vulnerabilidad de terceros ".
Esas son algunas palabras bastante fuertes para la compañía, pero donde realmente afecta a los problemas de cara al consumidor causados por esta falta de supervisión. La FTC explica que la implementación de HTC Carrier IQ y HTC Logger en sus dispositivos dejó los datos de los clientes vulnerables a los ataques, junto con errores que permitirían a terceros eludir el sistema de permisos incorporado de Android.
La segunda parte de la queja de la FTC es que encuentra que HTC fue engañoso al informar a los consumidores sobre los riesgos de seguridad de sus implementaciones de software, afirmando que los manuales de usuario del dispositivo y la interfaz de la aplicación "Tell HTC" eran engañosos. Se dice que estos dos problemas en la implementación han socavado el mecanismo de consentimiento normal de Android que habría mantenido seguros los datos del usuario.
Entonces, ¿qué significa esto para HTC? La FTC exige que la compañía desarrolle y publique parches de software para sus dispositivos afectados por estas vulnerabilidades, y HTC ha dicho que ya ha lanzado algunos parches en este momento. Además, HTC deberá someterse a "evaluaciones de seguridad independientes" cada 2 años durante los próximos 20 años. HTC también tendrá prohibido hacer declaraciones engañosas sobre la seguridad de sus dispositivos y los datos del usuario en el futuro.
Este es un hallazgo bastante grande de la FTC, pero no es necesariamente poco común. Aunque es posible que no hayan sido hazañas generalizadas que se estaban aprovechando de estos agujeros de seguridad, es importante que HTC realice cambios para ayudar a la seguridad en el futuro. Aunque hubiéramos preferido que HTC implementara las mejores prácticas en primer lugar, en lugar de venir a una investigación por parte de la FTC.
Fuente: FTC
