Amerikaanse regelgevers hebben een onderzoek ingesteld naar de praktijken van mobiele providers en technologiebedrijven bij het implementeren van beveiligingsupdates voor hun producten, om te achterhalen waarom het te lang duurt voordat deze beveiligingspatches de gecompromitteerde mobiele apparaten bereiken.
Net als bij software-updates krijgen met name de meeste Android-toestellen na een wat langere periode patches en verbeteringen dan bijvoorbeeld iPhones. In het geval van een inbreuk op de beveiliging, ontvangen die apparaten meer beveiligingsoplossingen dan zou moeten. Als gevolg hiervan is er een groeiende bezorgdheid onder mobiele gebruikers dat hun persoonlijke gegevens die zijn opgeslagen op smartphones en tablets minder veilig worden, vooral omdat deze in handen zijn van de betrokken technologiebedrijven zoals Google en Apple.
In het bijzonder heeft de FCC verschillende bedrijven, waaronder de grote luchtvaartmaatschappijen AT&T, Verizon, T-Mobile en Sprint, gevraagd om aan de toezichthouder te rapporteren over hoe zij beveiligingsupdates voor de mobiele telefoons die ze aanbieden beoordelen en implementeren. Ondertussen heeft de FTC ook de techgiganten Google, Apple, Microsoft en Samsung uitgenodigd, naast andere mobiele titanen, om informatie te verstrekken over hoe ze beveiligingsupdates voor hun respectieve producten verifiëren en uitgeven.
Regelgevers geven deze bedrijven anderhalve maand de tijd om op hun verzoeken te reageren, vooral die bedrijven die smartphones verkopen en mobiele telefooncontracten aanbieden in de Verenigde Staten. Na de reactieperiode zullen de FTC en FCC beoordelen hoe deze technische giganten hebben gereageerd en inzichten met elkaar delen over best practices voor het aanpakken van beveiligingsproblemen van mobiele gebruikers.
Het verzoek houdt echter geen formele start van een onderzoek in en het betekent ook niet dat er binnenkort een regel komt voor gsm-bedrijven en operators. Het doel van het verzoek is om te beoordelen wat mobiele providers momenteel doen om snel patches voor kwetsbaarheden uit te geven en welke uitdagingen ze onderweg tegenkomen.
Een deel van het consultatieproces omvat vragen over wanneer OEM’s waarschuwingen ontvangen met betrekking tot een softwarekwetsbaarheid en wanneer beveiligingsupdates worden uitgerold. Het probleem met met name Google’s Android is dat er veel versies van het mobiele besturingssysteem zijn, en elke versie is aangepast aan de smaak van de mobiele telefoonoperators. Dat maakt het voor Google moeilijk om updates over beveiligingslekken zo snel mogelijk vrij te geven. Updates moeten via mobiele providers gaan voordat ze de beoogde gebruikers bereiken.
Het aanpakken van deze zorg wordt steeds belangrijker in een tijd waarin het dreigingslandschap groeit.
