Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 32, views: 16.144 •

De Amerikaanse tak van HTC heeft met de Federal Trade Commission een schikking getroffen over de beveiliging van zijn smartphones en tablets met Android. Kwetsbaarheden maakten 'miljoenen HTC-toestellen' kwetsbaar; HTC moet patches uitbrengen om dat te verhelpen.

FTC logoAls onderdeel van de schikking verplicht HTC zich niet alleen om de getroffen Android-toestellen te patchen; ook staat het bedrijf de komende twintig jaar onder verscherpt toezicht, zo heeft de FTC bekendgemaakt. Daarbij vindt er om het jaar een onafhankelijke analyse van HTC's beveiligingspraktijken plaats. Ook moet HTC een 'omvangrijk beveiligingsprogramma' opzetten.

De schikking, waarmee HTC een rechtszaak voorkomt, volgt op beschuldigingen van de Federal Trade Commission dat 'miljoenen HTC-toestellen' kwetsbaar waren, waardoor gevoelige gegevens van gebruikers gevaar liepen. Volgens de FTC werden HTC-medewerkers niet goed genoeg geschoold op het gebied van beveiliging, werd software niet goed genoeg getest en werden algemeen bekende veiligheidstechnieken genegeerd. Ook werden meldingen van beveiligingsproblemen niet goed afgehandeld.

De kwetsbaarheden zaten in software die HTC bovenop Android meeleverde met zijn smartphones en tablets. De kwetsbare software maakte het mogelijk voor kwaadwillenden om beveiligingsmaatregelen in Android te omzeilen, zoals het permissiemodel. Zo installeerde HTC een applicatie op zijn Android-toestellen die het mogelijk maakte om applicaties te installeren zonder dat gebruikers daartoe toestemming gaven. Dat proces bleek te misbruiken. Daardoor konden privégegevens van HTC-toestellen worden ontfutseld. Ook kon elke applicatie eenvoudig toegang krijgen tot de microfoon, dankzij een onveilige meegeleverde app.

Daarnaast was de communicatie van logging-applicaties, waaronder het beruchte Carrier IQ, niet veilig geïmplementeerd. Ook zond een HTC-applicatie waarmee bugs worden gerapporteerd altijd de locatie van de gebruiker mee, ook als die daar geen toestemming voor gaf. Tot slot hekelt de FTC de naar zijn mening misleidende handleidingen van HTC, waarin stond dat een gebruiker altijd toestemming zou moeten geven voordat een applicatie toegang kreeg tot privégegevens. Dankzij de kwetsbaarheden in de software was dat niet zo. Als onderdeel van de schikking beloofde HTC om geen misleidende beweringen op te nemen in handleidingen.

Reacties (32)

@dutchgio; Het gaat hier 99% zeker over HTC Sense en de eigen applicaties;
De kwetsbaarheden zaten in software die HTC bovenop Android meeleverde met zijn smartphones en tablets. De kwetsbare software maakte het mogelijk voor kwaadwillenden om beveiligingsmaatregelen in Android te omzeilen, zoals het permissiemodel.
Niets mis met de huidige 'openheid' van de hardware dus.

@Senzune; Ik ben met alle respect heel benieuwd over welke HTC je het nu hebt, in mijn ervaring staat HTC er juist heel positief tegenover? Ken je de HTC Developer site? en wist je dat er ook al jaren actief contact met de community is? en HTC was bij mijn weten de eerste die de 'open bootloader policy' heeft ingevoerd, waar nu sinds een jaar of 2 wat andere bedrijven aan mee beginnen te doen.

Je bent misschien in de war met nieuws uit 2011, toen hadden ze al een paar jaar deze policy, maar had HTC opeens bedacht dat ze beter alles dicht konden gooien, hier kwamen vervolgens zoveel negatieve reacties op (vanuit communitys als XDA en MoDaCo) dat ze dit idee gewoon hebben geschrapt, en juist nog een stap verder hebben genomen en eigen SDK's uit te brengen.
Het gaat in mijn geval om de HTC One S, maar vergelijkbare verhalen hoor ik bij andere One series devices.

Ik ben niet in de war met dat nieuws - HTC was wellicht open tegen de dev community, maar nu, ook met een dev-site om te doen alsof ze er voor open staan, doen ze steeds meer moeite om hun apparaten gesloten te houden. De bootloader unlocken bij HTC toestellen is een pseudo-unlocker - granted, je kan er custom ROMs mee flashen, maar je blijft nog steeds op een onderliggende 'beveiligingslaag' genaamd S-ON die developers de strot uit komt.

De source-bestanden die HTC online zet komen meestal pas na een enorme actie van developers om dit voor elkaar te krijgen, middels petities. HTC zet deze niet zelf online totdat ze het nodig vinden adhv kritiek.

Sony is een voorbeeld van een developer die wel actief met de community bezig is. HTC wordt nog steeds als zeer slecht ervaren. Zeker als je nagaat dat ze sommige apparaten gewoon vergeten te updaten, bijvoorbeeld de S3-variant van de HTC One S. Een toestel met slechtere processor, wat niet even duidelijk op de box vermeldt wordt. Denk je een goed toestel te kopen.. nee hoor, ipv gewoon toe te geven dat voorraden van S4-processoren tijdelijk leeg zijn, gooi je er een crappy processor in en doe je of er niets aan de hand is.

Tuurlijk, HTC is niet een en al slecht, er is een OEM die nog veel meer aan het locked-ecosystem gebeuren doet, maar voor mij en vele anderen is HTC toch niet goed genoeg meer tegen zijn consumenten. Helaas.
Het gaat er niet alleen over hoeveel fouten er in zitten, maar ook wat je hebt gedaan om die fouten te voorkomen of te verhelpen. Fouten maakt iedereen, maar door laks gedrag kun je wachten op fouten en dat is verwijtbaar.

En waarom zou je als consument geen recht hebben op privacy? Dat is nota bene één van de mensenrechten (Europees Hof voor de Rechten van de Mens, artikel 8). Als fabrikant dien je die rechten te respecteren.

Als een voedingsmiddelenproducent het niet zo nauw neemt met de bereiding van zijn voedsel en bijvoorbeeld paardenvlees i.p.v. kalfsvlees toevoegt dan schreeuwt ook iedereen moord en brand. En terecht.
ben ik de enige die schrikt van de aantal "bugs" die schijnbaar in mijn toestel zitten?
Volgens de FTC werden HTC-medewerkers niet goed genoeg geschoold op het gebied van beveiliging, werd software niet goed genoeg getest en werden algemeen bekende veiligheidstechnieken genegeerd. Ook werden meldingen van beveiligingsproblemen niet goed afgehandeld.

De kwetsbaarheden zaten in software die HTC bovenop Android meeleverde met zijn smartphones en tablets.
... en dan concluderen dat het Google zijn schuld was... 8)7
Wat een regels waar HTC zich aan moet houden maar serieus, 20 jaar onder verscherpt toezicht! WTF! Dit is gewoon buitenlandse bedrijven pesten. Waarom hebben ze dit nooit bij MIcrosoft of bij Apple gedaan?
Kapitalisme , eigen markt beschermen etc.
Och... zo garandeert de overheid zich de komende 20 jaar toegang tot de beveiligingsinformatie van HTC waarmee het wel eens makkelijker zou kunnen zijn voor diezelfde overheid om toegang tot de data op HTC devices te krijgen... allemaal in het kader van "National Security" natuurlijk.

Maar betekent dit dat veel tot alle oudere modellen die 'end of life' waren nu toch ook een firmwarepatch moeten krijgen? Waar kan ik een lijst vinden met toestellen die dit krijgen?

Laten ze dat dan gelijk doen met de laatste Androidversie erbij. :p

Zo kunnen ze weer een beetje 'goodwill' terugwinnen. ;)

[Reactie gewijzigd door CaptJackSparrow op 22 februari 2013 20:20]

Inderdaad. Als je als bedrijf slim bent trek je je gewoon terug uit de Amerikaanse markt en gaat je richten op rijzende markten als Brazilië, India, China en Indonesië.
Lieve HTC, geven jullie dan ook even de drivers van ICS voor de Desire HD en andere toestellen waarvan jullie de Android 4.0 update beloofd hadden? Ze lagen tenslotte al klaar, nooit uitgegeven..

Ontopic: ik schrik van de hoeveelheid lekken en gaten in de software. Nu begrijp ik beter waar de rombakkers op XDA het over hadden bij romfeatures: "Removed bloatware and HTC calling home software". Van de zotte dat gebruikerstoestemmingen werden genegeerd.

Uit het nieuwsartikel van de FTC zelf: "Many consumers have already received the required security updates. The FTC encourages consumers to apply the updates as soon as possible." -> Dat verklaart de minimale update (3.12.405.2) van de Desire HD in de tweede helft van november 2012, zal bij andere telefoons ook wel rond die tijd zijn geweest. Vond het al zo vreemd dat HTC moeite deed voor een oud toestel ;)

[Reactie gewijzigd door r100 op 22 februari 2013 20:47]

ach wat maakt het ook uit, het is niet zo dat ik mijn pincode ofzo op mijn telefoon opsla 8)7

En persoonlijke berichten interreseert verder toch niemand, gewoon HTC blijven kopon jongens!
Als je het nieuwsbericht eens leest zie je dat door aanpassingen van HTC aan de standaard Android de beveiligingsproblemen zijn ontstaan. Daarom wordt alleen HTC aangepakt.
Nee, het gaat (als ik het bericht mag geloven) niet zozeer over de fouten zelf, maar vooral over de manier waarop er met beveiliging in bredere zin is omgegaan. Die is gewoon totaal niet serieus genomen.

Fouten zijn natuurlijk menselijk. Maar als je onervaren programmeurs (want goedkoop) verantwoordelijk maakt voor zaken waar beveiliging belangrijk is, als je ze te weinig tijd geeft om het echt goed te doen, als je de software onvoldoende test, als je meldingen over veiligheidslekken gewoon naast je neerlegt... Dán wordt je aangepakt en terecht!

Heel blij dat ze dit doen en zou wat mij betreft veel vaker mogen gebeuren. Ik herinner me nog menig nieuwsbericht waarbij je even een URL parameter kon aanpassen in een website en hoppa, je zag andermans gegevens. Dat 'fixen' ze dan even, maar iedereen met enig verstand van beveiliging weet dat als dat de enige controle op authorisatie is (zorgen dat URL param niet aangepast kan worden) dat het systeem dan eigenlijk zo lek is als een mandje. Authorisatie hoort niet in de user interface laag. Maar goed die sites komen er vooralsnog mee weg. Daar zou ik nou 'three strikes' wetgeving voor willen. Dat is namelijk de enige manier om bedrijven dit serieus te laten nemen.
maar elke fabrikant past zijn shit aan.
Ik snap sowieso niet, waarom alleen htc zo hard gestraft wordt, terwijl Samsung vorig jaar alleen een waarschuwing of zo kreeg :S slaat nergens op dit gedoe..
Is dit nou alleen van toepassing op de Amerikaanse tak van HTC?
Ik zal even een klein stukje quoten uit de source pdf:
The Federal Trade Commission, having reason to believe that HTC America, Inc.
(“respondent”) has violated the provisions of the Federal Trade Commission Act,
In dat geval ben ik al een stuk rustiger geworden als ik naar mijn huidige One X kijk.
Ik ben altijd nog HTC fanboy geweest maar maatregelen als deze, specifiek door de Amerikaanse overheid ook nog maken mij zorgen.

Gelukkig zijn deze bugs niet voor mij van toepassing,
weer een quote uit de source PDF:
These vulnerabilities have been present
on approximately 18.3 million HTC devices running Android v. 2.1.x, 2.2.x, 2.3.x, and
3.0.x.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Tablets Samsung Smartphones Laptops Microsoft Apple Games Besturingssystemen Internet

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013