Acluは、FTCがキャリアにセキュリティ更新をめぐってズボンを蹴飛ばすことを望んでいます

米国市民自由連合は本日、連邦取引委員会に提出した苦情（pdf）を発行し、米国の主要な航空会社によるスマートフォンの更新、さらには定期的な更新ではないという点についての調査を求めましたセキュリティ上の理由で販売する。 「Androidスマートフォン」、16ページの苦情には、「定期的な迅速なセキュリティアップデートを受け取らないと欠陥があり、不当に危険です」と書かれています。

スピーチ、プライバシー、テクノロジーに関するACLUの主任技術者兼シニアポリシーアナリストであるChris Soghoian氏は、ブログ投稿で次のように説明しています。

GoogleのAndroidオペレーティングシステムは現在、スマートフォン市場の75％以上を占めていますが、これらのデバイスの大部分は、パッチが適用されていない既知の悪用可能なセキュリティ脆弱性を持つ古いソフトウェアを実行しています。 これらのデバイスを実行している消費者には、正当なソフトウェアアップグレードパスはありません。

問題は、プロセスが機能するプロセスです。 Googleは、バグやセキュリティ修正プログラムのアップデートを含むAndroidコードを提供していますが、変更を実装するのはハードウェアメーカー次第であり、キャリアはそれらの変更を承認して最終的に公開する必要があります。 それは長くて厄介なプロセスであり、実際の効果で誰も改善することができなかったように見えます-少なくともACLUの満足、または少数派であるが購入する大衆の派factです。

ACLUは、Verizon、Sprint、T-Mobile、AT&Tなどの調査を求めることに加えて、特にいくつかのことを求めています。

• キャリアが「キャリアが提供するAndroidスマートフォンを使用しているすべての加入者に、脆弱性の存在と重大度に関する既知のパッチ未適用のセキュリティ脆弱性、および消費者が自身を保護するために実行できる合理的な手順（別のスマートフォンの購入など）を警告する」 スマートフォンの小売ボックスから放り出される他のリーガル種に圧倒されても、おそらくそれほど大きな違いはないでしょう。 しかし、基本的にお使いの携帯電話に大きな危険物のステッカーがあった場合を想像してください。
• 契約中のお客様が、携帯電話に「迅速な定期的なセキュリティアップデートが届かない」場合、その契約を早期に（ペナルティなしで）終了できるようにします。 それはまだ比較的オープンエンドですが、確かにそれはいくつかのよりローエンドのデバイスに適用されるでしょう。
• 「迅速で定期的な更新」を受け取った別のデバイスへの払い戻しまたは交換（メーカーやプラットフォームの切り替えを含む）を提供します。

もちろん、これらのアップグレードの懸念はプラットフォーム全体ではありません。 ハイエンドで人気のある携帯電話は、より多くの注目を集める傾向があります。 また、SprintまたはVerizon上のGalaxy Nexusを除き、Google自身の「Nexus」電話はこれに影響されず、キャリアではなくGoogleから直接更新を取得します。 ACLUはこれをすべて正しく記録します。

ACLUがキャリアのことわざに火をつけようとしていることに感謝しますが、ACLUの苦情は、知識のある人が多数のアップグレードサイクルを求めているのと同じ質問をするだけです。 主に、

• 「プロンプト」更新とは何ですか？ 1か月の間に複数の通信事業者でセキュリティ修正プログラムが展開されるのを見てきました。 他の人がより大きなメンテナンスリリースを待つのを見てきました。 「プロンプト」を決定するのは誰ですか？
• 「通常の」更新スケジュールとは何ですか？
• 「プロンプト」および「定期的な」更新について、技術的および財政的に現実的とは何ですか？ スマートフォンの世界には同等のものはありません。
• 更新プロセスを促進するためにGoogleまたは個々のメーカーができることはありますか？

そして、それらは私たちの頭上にあります。 繰り返しますが、セキュリティとセキュリティ更新が最も重要であるというACLUに同意します。 そして、ACLUが地獄を上げていることは、FTCが実際に何もする必要がないとしても、良いことです。 私たちの多くは、それが請願であれ、正式な苦情であれ、あるいは私たちの好きな方法で、あなたの財布で投票するかどうかにかかわらず、そうすべきです。