据《纽约时报》报道,美国联邦贸易委员会(FTC)周五称,该机构发现HTC生产的超过1800万部智能手机和其他移动设备存在安全漏洞,可能导致用户的地理位置信息被恶意跟踪,或者其他个人信息被盗窃。
FTC因此对HTC提起了诉讼,指控HTC对Android和Windows Phone手机系统的个性化修改,导致了第三方应用能够盗窃用户个人信息,恶意发送短信或者使用设备的麦克风对用户的通话进行录音。
这是FTC首次直接对一家移动设备厂商采取此类措施。随着智能手机和平板电脑成为消费者购物、使用银行和在线聊天的主流方式,个人信息和隐私必须得到妥善的保护。
总部位于华盛顿州贝尔维由市的HTC美国已经同意与FTC就这起民事案件和解,条件是该公司发布修复该安全漏洞的软件更新,并推出一款由第三方监管的安全程序,期限为20年。在消费者保护案件中,FTC并无收取罚款的权力。
“HTC设计产品时并未将安全因素考虑在内,”FTC消费者保护局高级律师莱斯利·菲尔(Lesley Fair)在一篇博客中称,“HTC并未测试旗下移动设备的软件是否存在安全漏洞,且未遵守其他厂商普遍执行的安全代码原则,甚至在收到设备存在漏洞的警告之后仍然未作出回应。”
HTC周五表示,该公司已经开始更新旗下移动设备的软件,并已经将更新分发给了部分用户。
“通过与运营商合作伙伴的合作,我们已经解决了2010年12月之后在美国发布的绝大多数设备中存在的安全漏洞问题,”HTC发言人萨利·朱利安(Sally Julien)在一份声明中表示,“我们正在推出余下的软件更新,并建议消费者在收到更新提示后立即下载。”
“隐私和安全非常重要,”这份声明称,“我们将继续致力于改进安全措施,以帮助保护消费者设备和数据的安全。”
FTC指控称,HTC手机的安全漏洞来源于该公司对操作系统的修改。比如谷歌Android系统,内置了一种被称为“基于请求允许”的安全模式,保护用户的敏感信息和手机功能。
这种模式要求用户在安装一款应用时,被告知并有权选择是否同意该应用读取特定信息或功能。
然而,HTC却在旗下手机中预装了某些应用,不允许用户删除,且关闭了“基于请求允许”的模式,允许新安装的应用直接读取用户私人数据。
“打个不恰当的比方,”FTC高级律师菲尔说,“HTC的做法,就像是将密码箱的钥匙给了一个朋友,结果却发现,不管谁跟那个朋友要钥匙,他都会给。”
这个安全漏洞还使得恶意软件能够录音用户的电话通话,或者追踪其位置。另外,该漏洞使得第三方应用能够直接读取用户的电话号码、短信息内容、浏览器历史以及信用卡号码和银行交易等信息。这些漏洞还同样影响Windows Phone操作系统的HTC手机。
尽管HTC的做法为旗下手机带来了众多安全漏洞,但一名FTC官员称,目前尚不清楚有多少用户的私人信息被非法入侵。
这一缺陷早在2011年就已被发现。HTC当时承认了该问题,并推出了软件更新,修复了部分漏洞。
但该问题的影响仍然在继续。FTC称,很常见的一个漏洞是话费欺诈漏洞,即黑客控制手机向某个号码发送短信,赚取信息费。这是Android恶意软件最常见的类型。
FTC称,HTC的用户手册中并未标明或暗示基于请求允许的安全机制能够保护用户免受恶意软件的侵害。
FTC将会在接下来的30天内收集公众对HTC补救措施方案的意见,随后决定是否正式执行该裁决。如果HTC随后违反了裁决的限制和要求,该公司将面临最高1.6万美元的民事罚款。