HTC America는 FTC (Federal Trade Commission)와 함께 자사 기기에 소프트웨어가 안전하지 않게 구현되어 수백만 고객의 개인 정보를 위험에 빠뜨릴 우려에 대해 합의했습니다. FTC는 HTC가 장치 용 소프트웨어를 만들 때 최상의 코딩 및 보안 사례를 구현할 때 합리적인주의를 기울이지 않음을 발견했습니다.
"엔지니어링 엔지니어에게 적절한 보안 교육을 제공하지 못했으며, 잠재적 보안 취약성에 대해 모바일 장치의 소프트웨어를 검토하거나 테스트하지 못했으며, 잘 알려져 있고 일반적으로 허용되는 보안 코딩 방법을 따르지 않았으며, 타사의 취약성 보고서를 해결했습니다."
이것들은 회사에 대한 매우 강력한 말이지 만 실제로 집에 닿는 곳은이 감독 부족으로 인한 소비자 대면 문제입니다. FTC는 장치에 HTC의 Carrier IQ 및 HTC Logger를 구현하면 제 3자가 Android의 내장 권한 시스템을 우회하도록하는 오류와 함께 고객 데이터를 공격에 취약하게 만들었습니다.
FTC 불만의 두 번째 부분은 HTC가 소비자에게 자사 소프트웨어 구현의 보안 위험에 대해 기만적으로 지적하여 장치 사용자 매뉴얼과 "Tell HTC"앱의 인터페이스가 잘못되었다고 말하고 있다는 점입니다. 이 두 가지 구현 문제는 사용자의 데이터를 안전하게 유지하는 Android의 일반적인 동의 메커니즘을 손상 시켰다고합니다.
HTC에게 이것이 무엇을 의미합니까? FTC는이 취약점에 영향을받는 장치에 대한 소프트웨어 패치를 회사에서 개발 및 릴리스 할 것을 요구하고 있으며 HTC는이 시점에서 이미 일부 패치를 릴리스했다고 밝혔다. 또한 HTC는 향후 20 년 동안 2 년마다 "독립 보안 평가"를 제출해야합니다. HTC는 또한 장치의 보안과 앞으로의 사용자 데이터에 대해 오도하는 진술을하지 않을 것입니다.
이것은 FTC에서 꽤 큰 발견이지만 반드시 드문 것은 아닙니다. 이러한 보안 허점을 활용 한 광범위한 익스플로잇은 아니지만 HTC가 보안을 개선하기 위해 변경을 수행하는 것이 중요합니다. HTC가 FTC의 조사보다는 우선 모범 사례를 구현하고 있다면 선호했을 것입니다.
출처: FTC
