Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties, 16.304 views •

De Amerikaanse tak van HTC heeft met de Federal Trade Commission een schikking getroffen over de beveiliging van zijn smartphones en tablets met Android. Kwetsbaarheden maakten 'miljoenen HTC-toestellen' kwetsbaar; HTC moet patches uitbrengen om dat te verhelpen.

FTC logoAls onderdeel van de schikking verplicht HTC zich niet alleen om de getroffen Android-toestellen te patchen; ook staat het bedrijf de komende twintig jaar onder verscherpt toezicht, zo heeft de FTC bekendgemaakt. Daarbij vindt er om het jaar een onafhankelijke analyse van HTC's beveiligingspraktijken plaats. Ook moet HTC een 'omvangrijk beveiligingsprogramma' opzetten.

De schikking, waarmee HTC een rechtszaak voorkomt, volgt op beschuldigingen van de Federal Trade Commission dat 'miljoenen HTC-toestellen' kwetsbaar waren, waardoor gevoelige gegevens van gebruikers gevaar liepen. Volgens de FTC werden HTC-medewerkers niet goed genoeg geschoold op het gebied van beveiliging, werd software niet goed genoeg getest en werden algemeen bekende veiligheidstechnieken genegeerd. Ook werden meldingen van beveiligingsproblemen niet goed afgehandeld.

De kwetsbaarheden zaten in software die HTC bovenop Android meeleverde met zijn smartphones en tablets. De kwetsbare software maakte het mogelijk voor kwaadwillenden om beveiligingsmaatregelen in Android te omzeilen, zoals het permissiemodel. Zo installeerde HTC een applicatie op zijn Android-toestellen die het mogelijk maakte om applicaties te installeren zonder dat gebruikers daartoe toestemming gaven. Dat proces bleek te misbruiken. Daardoor konden privégegevens van HTC-toestellen worden ontfutseld. Ook kon elke applicatie eenvoudig toegang krijgen tot de microfoon, dankzij een onveilige meegeleverde app.

Daarnaast was de communicatie van logging-applicaties, waaronder het beruchte Carrier IQ, niet veilig geïmplementeerd. Ook zond een HTC-applicatie waarmee bugs worden gerapporteerd altijd de locatie van de gebruiker mee, ook als die daar geen toestemming voor gaf. Tot slot hekelt de FTC de naar zijn mening misleidende handleidingen van HTC, waarin stond dat een gebruiker altijd toestemming zou moeten geven voordat een applicatie toegang kreeg tot privégegevens. Dankzij de kwetsbaarheden in de software was dat niet zo. Als onderdeel van de schikking beloofde HTC om geen misleidende beweringen op te nemen in handleidingen.

Reacties (32)

Reactiefilter:-132030+115+21+30
Moderatie-faq Wijzig weergave
Beveiligingsfouten zijn er in verschillende varianten en als je ze bestaan door extreme nalatigheid van de fabrikant dan kan ik me er alles bij voorstellen als hij een rechtszaak aan zn broek krijgt.
Wat een regels waar HTC zich aan moet houden maar serieus, 20 jaar onder verscherpt toezicht! WTF!

Het is inderdaad moeilijk je aan de indruk te onttrekken dat hier gewoon een buitenlands bedrijfje in de mangel genomen wordt. Moet Apple dan nu ook onder 60 jaar verscherpt toezich nu zowel Facebook, Apple zelf, en Microsoft aangevallen zijn door een groot beveilingingsfout bij Apple? Of Oracle dan maar? Nee, die lui komen nog geen dag onder verscherpt toezicht.
Je leest nietdat hetGoogle het schuld is. Ik beweer dat Android zelf vrij brak is qua beveiliging. Het gebeurd regelmatig dat er malware in de Playstore staat. Tot virussen aan toe. Met die opmerking maak ik niet Google de schuldige, maar het draagt wel bij aan het feit dat als er dampn een schil over Android word gehooid met nog brakkere beveiliging, je systeem dus helemaal niet veilig is. Dat heeft deels temaken met Google, maar de schil kun je HTC aanrekenen.
Okay, maar wat is nu precies de schikking? Want dat ze de fout(en) dmv van patches moeten oplossen lijkt mij logisch, maar een schikking houdt meestal meer in zoals een geldbedrag? Overigens vind ik dat HTC wel erg flink wordt aangepakt en dat 20 jaar 'onder curatele' op de amerikaanse markt ook wat overdreven overkomt. Er is ook nog een amerikaans gebaseerd bedrijf welke de afgelopen jaren ook aantoonbare problemen had en die mogen vrolijk doorgaan.

Buiten dat, gaat de FTC hiervoor ook providers aanschrijven? Want HTC kan patches uitbrengen wat ze willen, vele toestellen zijn afhankelijk van de provider omdat de software op de provider is aangepast en daardoor ook de software updates via de provider worden uitgerold.
Het zal de FTC worst wezen wat HTC in andere landen uitspookt. Ze beschermen hun eigen consumenten, niet die van de hele wereld. Multinationals worden in de regel in elk land vertegenwoordigd door een dochteronderneming. Die onderneming is degene waar alle activiteiten in dat land onder plaatsvinden en die wordt dan ook aangesproken door de autoriteiten in dat land.

Of die problemen ook op jouw toestel van toepassing zijn weet ik niet, maar ik zou er maar rekening mee houden dat *alle* HTC toestellen hier last van hadden... Lijkt me niet dat HTC veel verschillende versies van Sense had en al helemaal niet dat ze dan de US markt een inferieure versie zouden geven.
Ik heb nog nooit een rechtszaak gezien waarin Microsoft wordt veroordeeld voor dat er teveel beveiligingsfouten in Windows zitten?
Apple heeft de laatste maanden elke week wel een bug met een pleister bewerkt en dan die unlock passcode beveiligings probleem welke we nog kennen van os 4.1 welke je toegaan geeft tot gebruikt van de iphone. Ook wifi plus wat geleid heeft tot hoge nota's voor mensen die geen idee hadden dat hun toestel van wifi naar 3G werd geleid omdat het niet zichtbaar was op het toestel. Hoe fijn is Apple - Niet .

Feit is wel dat android gevoeligers is door de android store Play en maar je ziet het nu ook langzaam opkomen bij Apple vooral nu meer criminelen het voorzien hebben op macs, iphones en tablets.
als jij iets maakt/fabriceert, dan ben jij toch net zo goed eigen baas of je dit aan gaat bieden ofniet? kromme vergelijking, iets met appels en peren enzo... 'zucht'
Jammer dat Google dat voor de meeste fouten direct of indirect
verantwoordelijk was als Amerikaans bedrijf helemaal vrijuit gaat.
ik snap uberhaut niet waarom alleen HTC? ik bedoel je zit met een android toestel open-source.
Dan zit ik toch echt naar google te kijken, van waarom ze met zo'n ontwikkeling komen ?

Elke fabrikant zet een schil over de android heen. Welke beveilingen zijnn het wel dan niet ???
Vermoedelijk zaten, niet zitten. De aanklacht is uit november 2011, sindsdien zijn er volgens mij al meerdere updates geweest.
Daar doet HTC toch al genoeg moeite voor om dat tegen te gaan, ze zijn niet bepaald geliefd in de dev community. Deze beveiligingsissues zijn de laatste druppel voor mij, ik koop geen HTC toestel weer. De 'update' (noem het maar gerust 'downdate') naar Jelly Bean heeft meer kapot gemaakt dan het aan nieuwe functionaliteit bijdraagt (en dat is niet toevallig mijn toestel die stom doet).

Ziet er mooi uit, die nieuwe HTC One, maar nee bedankt, ik wacht wel op antwoord van de concurrentie. Niet dat er zoveel vertrouwen te plaatsen is in een van de andere bedrijven.. maar HTC is ver genoeg gegaan nu met deze walgelijke instelling naar zijn consumenten.
Nee hoor, het moet natuurlijk gewoon kunnen dat een bedrijf er met jouw gegevens vandoor gaat, of beveiligingsgaten open laat om een ander die toegang te verschaffen. Moet gewoon kunnen, privacy is niet nodig in onze geweldige maatschappij. /s
Dit is toch wel even een kleine schok. De beveiliging van Android is al brak, laat staan wanneer de schil van de fabrikant ook nog eens flinke gaten heeft. Zoals uit het artikel blijkt dat ze elkaar zelfs tegenwerken. Voor het eerst sinds mijn eerste HTC telefoon ben ik onaangenaam verrast, zeker dat ze toch privegegevens meesturen. In feite ben je dus nog een x aantal keer kwetsbaarder met Sense. Een echte domper dit wat onvermijdelijk tot imagoschade gaat leiden. Dan ben ik blij dat HTC flink bij WP onder controle is waardoor de beveiliging in ieder geval beter is.

[Reactie gewijzigd door South_Styler op 22 februari 2013 20:04]

Wel apart op zich dat je aangeklaagd kan worden voor lakse veiligheid. T is niet een of ander recht ofzo lijkt me?
Het gaat in mijn geval om de HTC One S, maar vergelijkbare verhalen hoor ik bij andere One series devices.

Ik ben niet in de war met dat nieuws - HTC was wellicht open tegen de dev community, maar nu, ook met een dev-site om te doen alsof ze er voor open staan, doen ze steeds meer moeite om hun apparaten gesloten te houden. De bootloader unlocken bij HTC toestellen is een pseudo-unlocker - granted, je kan er custom ROMs mee flashen, maar je blijft nog steeds op een onderliggende 'beveiligingslaag' genaamd S-ON die developers de strot uit komt.

De source-bestanden die HTC online zet komen meestal pas na een enorme actie van developers om dit voor elkaar te krijgen, middels petities. HTC zet deze niet zelf online totdat ze het nodig vinden adhv kritiek.

Sony is een voorbeeld van een developer die wel actief met de community bezig is. HTC wordt nog steeds als zeer slecht ervaren. Zeker als je nagaat dat ze sommige apparaten gewoon vergeten te updaten, bijvoorbeeld de S3-variant van de HTC One S. Een toestel met slechtere processor, wat niet even duidelijk op de box vermeldt wordt. Denk je een goed toestel te kopen.. nee hoor, ipv gewoon toe te geven dat voorraden van S4-processoren tijdelijk leeg zijn, gooi je er een crappy processor in en doe je of er niets aan de hand is.

Tuurlijk, HTC is niet een en al slecht, er is een OEM die nog veel meer aan het locked-ecosystem gebeuren doet, maar voor mij en vele anderen is HTC toch niet goed genoeg meer tegen zijn consumenten. Helaas.
Nee, het gaat (als ik het bericht mag geloven) niet zozeer over de fouten zelf, maar vooral over de manier waarop er met beveiliging in bredere zin is omgegaan. Die is gewoon totaal niet serieus genomen.

Fouten zijn natuurlijk menselijk. Maar als je onervaren programmeurs (want goedkoop) verantwoordelijk maakt voor zaken waar beveiliging belangrijk is, als je ze te weinig tijd geeft om het echt goed te doen, als je de software onvoldoende test, als je meldingen over veiligheidslekken gewoon naast je neerlegt... Dán wordt je aangepakt en terecht!

Heel blij dat ze dit doen en zou wat mij betreft veel vaker mogen gebeuren. Ik herinner me nog menig nieuwsbericht waarbij je even een URL parameter kon aanpassen in een website en hoppa, je zag andermans gegevens. Dat 'fixen' ze dan even, maar iedereen met enig verstand van beveiliging weet dat als dat de enige controle op authorisatie is (zorgen dat URL param niet aangepast kan worden) dat het systeem dan eigenlijk zo lek is als een mandje. Authorisatie hoort niet in de user interface laag. Maar goed die sites komen er vooralsnog mee weg. Daar zou ik nou 'three strikes' wetgeving voor willen. Dat is namelijk de enige manier om bedrijven dit serieus te laten nemen.
Volgens de FTC werden HTC-medewerkers niet goed genoeg geschoold op het gebied van beveiliging, werd software niet goed genoeg getest en werden algemeen bekende veiligheidstechnieken genegeerd. Ook werden meldingen van beveiligingsproblemen niet goed afgehandeld.

De kwetsbaarheden zaten in software die HTC bovenop Android meeleverde met zijn smartphones en tablets.
... en dan concluderen dat het Google zijn schuld was... 8)7

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True