アメリカ自由人権協会が連邦取引委員会に提出した苦情によると、米国の大手携帯電話会社が提供するカスタムバージョンのAndroidを搭載したスマートフォンは、GoogleのスマートフォンやMicrosoftなど他のベンダーのスマートフォンほど定期的にセキュリティアップデートを受けていないという。
「定期的かつ迅速なセキュリティアップデートを受けていないAndroidスマートフォンは欠陥があり、非常に危険である」とACLUは火曜日の訴状で述べた。
AT&T、Verizon Wireless、Sprint Nextel、T-Mobile USAに対する訴状では、テクノロジーニュースサイトArs Technicaが昨年12月に実施した調査結果を引用し、「大手無線通信事業者のすべてが、顧客に販売したAndroidスマートフォンに定期的かつ迅速なアップデートを提供していない」と述べている。
ACLUのウェブサイトに掲載されている訴状によると、スマートフォンなどのモバイルコンピューティング機器の販売やそのソフトウェアアップデートは一般通信事業者の活動には含まれず、したがってFTCの管轄となる。
ベライゾンは声明で、「当社は、無線通信業界をリードする厳格なテストプロトコルで知られており、すべてのアップデートをお客様に提供する前に徹底的にテストしています」と述べています。「当社は(デバイスメーカーと)緊密に連携し、デバイスに必須のアップデートを可能な限り迅速に提供することで、良好で安全な顧客体験の確保に細心の注意を払い、最優先に取り組んでいます」と付け加えています。
スプリントの広報担当ジョン・B・テイラー氏は電子メールで、同社は「顧客を守るために設計された業界標準のベストプラクティスに従っている」と述べた。
T-MobileとAT&Tは直ちには反応しなかった。
苦情の詳細
訴状によると、通信事業者が提供するAndroid端末のほとんどは、特定のハードウェア、独自のユーザーインターフェース、ソフトウェアアプリケーションやサービスをサポートするために端末メーカーや無線通信事業者によってカスタマイズされており、その結果、「事実上、これらの企業だけが更新できる独自のオペレーティングシステム」となっている。
ACLUは、Googleが直接販売・管理し、標準バージョンのAndroidを搭載する「Google管理Nexusデバイス」と「Google管理外Nexusデバイス」を区別しています。Google管理デバイスはGoogleから定期的にソフトウェアアップデートを受け取りますが、それ以外のデバイスは「携帯電話事業者の関与と承認なしにオペレーティングシステムのアップデートを受け取ることはなく、実際には受け取ることができません」。
ACLUも引用している米国会計検査院の2012年の報告書によると、デバイスのソフトウェアに独自の変更が加えられている場合、デバイスメーカーは脆弱性の修正を組み込んだデバイス固有のアップデートを作成するのに時間がかかる可能性があるという。
同社はさらに、アップデートがデバイスの他の部分やデバイスにインストールされているソフトウェアに干渉するかどうかをテストする時間が必要なため、通信事業者がメーカーからのアップデートの提供を遅らせる可能性があると付け加えた。
苦情の要求
訴状によると、スマートフォンのブラウザも古く、セキュリティ上のリスクがある。訴状では、FTCに対し、ユーザーが定期的かつ迅速なセキュリティアップデートを受けていない場合は、購入から2年未満のAndroidスマートフォンを、定期的なセキュリティアップデートを受けるスマートフォンと交換するか、スマートフォンを返品して購入価格の全額を返金するよう通信事業者に義務付けるよう求めている。
ACLUはまた、FTCに対し、通信事業者に対し、キャリア提供のAndroidスマートフォンを使用している顧客が解約手数料なしで契約を解約できるよう義務付けるよう要請した。また、既知のセキュリティ脆弱性があり、修正されていないキャリア提供のAndroidスマートフォンを使用しているすべての加入者に対し、通信事業者に警告を発するよう義務付けるべきだ。
同様の事例として、FTCは昨年、ホスピタリティ企業のウィンダム・ワールドワイドとその子会社3社に対し、データセキュリティの不備が原因で2年足らずでウィンダムのホテルで3件のデータ侵害が発生したとして訴訟を起こしました。FTCは、これは企業がセキュリティとデータプライバシーに関する約束を履行するよう徹底するための継続的な取り組みの一環だと述べています。
