HTC, cihazlarındaki güvenlik açıkları nedeniyle FTC ile anlaşma yaptı

[Hafiye]

Mobil cihaz üreticisi HTC Amerika, geliştirdiği akıllı telefon ve tablet cihazlarını kullanan milyonlarca kullanıcının hassas kişisel bilgilerini korumak için gerekli önlemleri almakta başırısız olduğu ve kullanıcıları açıkça güvenlik riskine attığı suçlamalarını kabul ederek FTC (Federal Ticaret Komisyonu) ile anlaşma yaptı.

FTC ile yapılan bu anlaşmaya göre, HTC Amerika'nın milyonlarca HTC cihazı için bir güvenlik yaması yapması ve yayınlaması gerekiyor. Anlaşmaya göre ayrıca, HTC Amerika'nın HTC cihazlarının geliştirilmesi sırasında güvenlik risklerini ele almak ve gelecek 20 yıl boyunca her yıl bağımsız güvenlik değerlendirmelerinden geçmesi için tasarlanmış kapsamlı bir güvenlik programı oluşturması gerekiyor.

Komisyonun belirlediği öne çıkan bazı maddelere göre:

• HTC, cihazlarında yarı yüklü gelen operatörlere ait kişiselleştirilmiş uygulamaları kullanıcıların izni olmadan yükledi ve bu uygulamaların kaldırılması için cihaz ara yüzünde herhangi bir seçenek yok.

• Üçüncü parti uygulama geliştiricilerinin, bu hassas bilgiler ve cihaz işlevlerine erişimleri ile ilgili güvenlik açıklarını tespit etmek ve azaltmakta ve ayrıca veri şifrelemede hatalı bulundu.

• Android işletim sistemindeki güvenlik modeli olan kullanıcı iznilerini (örneğin, ses kaydeden bir uygulamanın mikrofunu kullanması gerektiğinde kullanıcıdan izin istemesi), kendi kişiselleştirilmiş uygulamalarında izinleri yeniden tanımlaması ile zayıflatmış oldu. Ayrıca, kullanıcı tarafından yetkilendirilmiş bazı uygulamalar, aynı yetki seviyesinde olmayan başka uygulamalara kullanıcı izin vermediği halde hassas bilgileri aktarabilmekte.

• Bu uygulamalarda mikrofon erişimi, GPS, çağrı ve WiFi bazlı konum bilgileri, gönderilen sms mesajları gibi işlemlerin tamamında kullanıcı izni bulunmuyor.

• Malware geliştiricileri bu güvenlik açıklarından yararlanabilir. Bu açıklar ile örneğin, telefon konuşmalarının gizli kaydı veya diğer hassas ses kayıtları, kullanıcının fiziksel konumunu izlemek, kullanıcının telefon faturasını şişirmek için premium numaralara kısa mesaj göndermek gibi önemli noktalar işaret ediliyor.

• HTC, cihazlarında kullandığı ve sms, GPS ve ağ konumları, telefon numarası, rehber, gelen mesajlardaki telefon numaraları, aranan numaralar, web tarayıcı ve medya geçmişi, IMEI veya Mobil Cihaz Kimliği (MEID), Gmail ve Microsoft Exchange gibi kayıtlı hesaplar gibi hassas bilgilere ait günlükleri kullanıcı izni olmadan gönderen HTC Loggers adlı uygulaması, Andoid güvenlik modeline bağlı izin kurallarına ters düşen (bu kuralları kendi kullanım kılavuzlarında da belirtmesine rağmen) TELL HTC adlı uygulaması ve yine sistem günlükleri ve hata ayıklama kodlarını gönderen Carrier IQ (CIQ) adlı istatiskik firmasına ait kullanıcı bilgilerini izleyen uygulamayı müşterilere göndermeden önce devre dışı bırakmadığı için hatalı bulundu.

Yazar: haqy

 

[thekillingroad]

SOn derece doğru ve benim de canımı sıkan bir durum.
Ama, bunun HTC ile özelleştirilmesi ne alaka anlamadım. Tüm akıllı telefon üreticilerinde bu durum geçerli.

 

[Hafiye]

Evet, bu makale htc ile ilgili olsa da, Carrier IQ denilen casus yazılım hemen hemen tüm akıllı telefonlarda var. Olmayan telefonlarda da şirketler kendi geliştirdikleri casus yazılımları kullanıyor.