ACLU klager over for FTC, at mobiloperatører forlader Android-telefoner usikrede

Smartphones med brugerdefinerede versioner af Android, der tilbydes af store amerikanske mobiloperatører får ikke sikkerhedsopdateringer så regelmæssigt som telefoner fra Google eller smartphones fra andre leverandører som Microsoft, ifølge en klage fra American Civil Liberties Union til Federal Trade Commission.

"Android-smartphones, der ikke modtager regelmæssig og hurtig sikkerhed opdateringer er defekte og urimeligt farlige ", sagde ACLU i klagen på tirsdag.

Klagen mod AT & T, Verizon Wireless, Sprin t Nextel og T-Mobile USA siger, at "alle de store trådløse operatører har undladt at levere regelmæssige og hurtige opdateringer til Android-telefoner, som de har solgt til deres kunder", citerer resultaterne fra en undersøgelse i december sidste år af teknologienyheder Ars Technica.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Salget af mobile computerenheder som smartphones og softwareopdateringer til enhederne er ikke en del af almindelige carrier-aktiviteter og er derfor underlagt til FTC-myndighed, ifølge klagen, hvoraf en kopi er på ACLU-webstedet.

"Vi er kendt for vores strenge testprotokoller, der fører den trådløse industri, og vi tester grundigt alle opdateringer, inden vi leverer det til kunderne" Verizon sagde i en erklæring. "Vi arbejder tæt sammen med [enhedsproducenter] og leverer obligatoriske opdateringer til enheder hurtigst muligt og giver opmærksomhed og prioritet for at sikre en god og sikker kundeoplevelse," tilføjede den.

Sprinter talsmand John B. Taylor sagde i en email at virksomheden "følger bedste praksis i branchen for at beskytte sine kunder."

T-Mobile og AT & T reagerede ikke straks.

Detaljer om klagen

De fleste Android-enheder, der tilbydes af operatører, er tilpasset håndsættet beslutningstagere og trådløse operatører til at understøtte specifikke hardware-, proprietære brugergrænseflader og softwareapplikationer og -tjenester med det resultat, at de er "i virkeligheden unikke operativsystemer, som kun disse virksomheder har evnen til at opdatere", ifølge klagen.

ACLU skelner mellem "Google-administrerede Nexus-enheder", som sælges og administreres direkte af Google, og kører standardversionen af ​​Android og "Ikke-Google-administrerede Nexus-enheder". Mens Google administrerede enheder modtager regelmæssige softwareopdateringer fra Google, de andre "kan ikke - og faktisk ikke modtage operativsystemopdateringer uden deltagelse og godkendelse fra den trådløse operatør."

Enhedsproducenter kan tage tid til at producere en enheds- specifik opdatering, der indeholder en sårbarhedsrettelse, hvis der er proprietære ændringer af enhedens software ifølge en rapport fra 2012 fra det amerikanske regeringsansvarskontor, der også er citeret af ACLU.

Transportører kan forsinkes med at levere opdateringer fra producenten, fordi de har brug for tid til at teste om de interfererer med andre aspekter af enheden eller den software, der er installeret på den, tilføjede den.

Anmodninger i klagen

Browserne på smartphonesne er også forældede og udgør sikkerhedsrisici i henhold til klagen, som har bedt FTC om at kræve, at operatørerne tillader brugere at udveksle deres Android-smartphones, der er mindre end 2 år gamle for en, der modtager regelmæssige sikkerhedsopdateringer eller re vend telefonen til fuld refusion af købsprisen, hvis de ikke har modtaget regelmæssige og hurtige sikkerhedsopdateringer.

ACLU anmodede også FTC om at tvinge operatørerne til at tillade, at kunder, der bruger operatørleverede Android-smartphones, annullerer kontrakter uden nogen tidlige opsigelsesgebyrer. Operatørerne bør også være tvunget til at advare alle abonnenter ved hjælp af Android-smartphones med operatørleverancer med kendte, upatchede sikkerhedsproblemer.

I en lignende sag indgav FTC sidste år mod hospitalsfirmaet Wyndham Worldwide og tre af dets datterselskaber for påståede datasikkerhedsfejl, der førte til tre data brud på Wyndham-hoteller på mindre end to år. FTC sagde, at det var en del af dens løbende indsats for at sikre, at virksomheder lever op til deres løfter om sikkerhed og datasikkerhed.