上周,美国联邦贸易委员会(FTC)解释了其广泛的消费者保护授权,以提出针对三个移动托尔布尔软件申请的开发人员的一级执法行动。除非在设计和功能方面取得了重大变化,否则开发人员被禁止进一步销售应用程序。
联邦贸易委员会要求修改地址通知程序和语言、内置移动设备安全、书面同意以及适当的网络安全文件和政策。
如果一款应用具备监控其他用户设备的功能,这些要求可能会为该应用必须包含的内容制定第一套“标准”。然而,这些需求的潜在影响——并不适用于当前任何其他跟踪者软件开发人员——仍然是一个问题。
两个反缠扰者倡导者 - 埃尔卡·奥尔森(Erica Olsen)埃里卡奥尔森,领导国家网络,以终止家庭暴力的安全网计划,电子前沿基金会的网络安全总监Eva Galperin欢迎FTC案件的新闻,虽然不同程度。
“我绝对认为这是令人兴奋的,也是必要的,这是一个重要的先例,”奥尔森说,并补充说,联邦贸易委员会的案件只是第一步,需要额外的工作,让跟踪者制造商和滥用者完全负责。
在讲话时商业内幕加尔佩林担心联邦贸易委员会的实际目标是什么。
加尔佩林说:“我要我能得到的。”“联邦贸易委员会行动的基础不是(跟踪软件开发商)在制作跟踪软件,而是他们没有在制作安全Stalkerware。“
联邦贸易委员会的调查
10月22日FTC宣布对佛罗里达州公司Retina-X Studios LLC及其所有者小詹姆斯·n·约翰斯(James N. Johns Jr.)的调查发现,该公司违反了《儿童在线隐私保护法》(COPPA)和《联邦贸易委员会法》(FTCA),后者禁止公司欺骗客户。
他在当天的新闻发布会上说美国联邦贸易委员会消费者保护局主任安德鲁·史密斯说,Retina-X的三个应用程序——mobilespy、Phone Sheriff和TeenSafe——“允许购买者在不知情或不获得移动设备用户许可的情况下,偷偷监视安装在其上的移动设备上的几乎所有东西。”
这三款应用已经在Motherboard的系列中得到了推荐。当间谍回家时”,在必威平台APP必威官方登录备用Malwarebytes实验室自己的报告,允许用户在另一个用户的设备上间谍,授予他们访问文本消息,电子邮件,电话和日志,GPS位置数据和Web浏览器活动。这些应用程序以及具有类似功能的其他应用程序已成为国内虐待关系中的着名标志。他们对各地的用户都是一个严重的威胁。
据联邦贸易委员会发言人表示,委员会认识到了这一威胁。
这位发言人表示:“联邦贸易委员会一直在寻求保护消费者,尤其是最脆弱的群体。”“我们明白,消费者越来越依赖技术,滥用技术可能导致新的虐待形式,并被用作放大伤害的工具,包括在家庭暴力情况下。”
联邦贸易委员会声称,Retina-X和小约翰在多个方面辜负了用户。
Retina-X据称未能保护它收集的数据,其中包括“来自儿童的GPS位置,短信和其他个人信息”。Retina-X还据称允许应用程序购买者“访问有关设备用户的敏感信息,包括用户的物理运动和在线活动。”
联邦贸易委员会还批评了Retina-X,因为要在设备上安装其应用程序,该设备必须首先被越狱或root,联邦贸易委员会称,这一过程“暴露了设备的安全漏洞,可能导致制造商的保修无效。”
此外,联邦贸易委员会还呼吁Retina-X公司对用户做出所谓的隐私承诺。尽管该公司告诉应用程序购买者,他们的“私人信息在我们这里是安全的”,但实际上Retina-X遭遇了两次数据泄露。更糟糕的是,联邦贸易委员会表示,Retina-X直到2017年与副主士有联系公司他从黑客自己那里得到了消息。
2018年,几乎一模一样的情景又发生了.在第二次入侵之后,Retina-X“无限期”关闭了它的应用程序。
根据FTC和副,黑客访问登录名,加密登录密码,短信,GPS位置,联系人和照片。
近年来,联邦贸易委员会对试图保护因公司数据泄露而受到损害的消费者表现出极大的兴趣。
2017年,在调查发现叫车公司优步后,联邦贸易委员会与该公司达成了和解未能阻止未授权访问存储敏感消费者数据的云服务器.今年是委员会与Equifax达成了和解通过信用报告机构的2017年数据泄露,影响了1.47亿美国人。
与此同时,联邦贸易委员会还为消费者提供了指导受万豪数据泄露的影响和第一资本最近的数据泄露.
FTC发言人拒绝就调查的来源置评。
这位发言人表示:“联邦贸易委员会的调查是非公开的,所以我们不会讨论我们为什么要展开一项特别调查。”
视网膜x光检查同意书
公平交易委员会虽然不能对违反《联邦贸易委员会法》的初犯收取金钱费用,但可以通过让企业和个人签署“同意令”来抑制欺诈和危险行为。如果签署了同意令的任何一方在未来违反了该命令,联邦贸易委员会可以发出罚款。
提交给Retina-X和Johns Jr的同意订单已经签署。It includes permanent rules that Retina-X and Johns Jr. must comply with should they ever try to engage in “promoting, selling, or distributing” any software application, program, or code that can be installed by one users onto another user’s device to track their activity.
首先,Retina-X和小约翰不能在任何需要越狱、root或绕过终端用户设备内置安全的监控应用程序上工作。Retina-X和Johns Jr.还必须确保他们开发的任何监控应用程序都需要用户的“书面证明”,证明他们将出于“合法和合法”的目的使用该应用程序。
根据联邦贸易委员会的说法,监控应用程序的“合法和合法”目的包括只有以下几点:
- 父母监督一个未成年子女
- 雇主监视已提供明确书面同意受监视的雇员
- 对另一成年人进行监护,且该成年人已书面同意接受监护
此外,Retina-X和Johns Jr的任何应用程序不能让用户可以选择在终端用户的设备屏幕上隐藏应用程序的图标。
联邦贸易委员会进一步表示,用户应该能够“点击“应用程序图标达到页面清晰、明显告诉用户应用程序的名称,它的功能,它是现在和最终用户的设备上运行,如何联系和信息应用的代表在错误的情况下安装。
NNEDV的奥尔森对新的通知要求持积极态度。
奥尔森说:“我们非常重视通知。“并不是说某些类型的监控应用没有时间、地点和用途,但这些应用(MobileSpy、Phone Sheriff、TeenSafe)的开发方式显然是为了滥用,所以,我认为这是一个很好的先例。”
奥尔森说,联邦贸易委员会在公开声明前几周联系了NNEDV,委员会和该组织共同合作开发共享的图像和语言。
Olsen还表示,随后与FTC通信,NNEDV在STALKERWARE和SPYWARE上更新了自己的页面,包括一个资源“幸存者的电话监控和安全,“和另一个上”幸存者的计算机监控和安全.”
“这个空间总是改变了一点,”奥尔森说:“所以我们试图确保,当我们与人们联系时,我们正在尽可能地验证和了解技术。”
数据销毁和报告要求
大多数FTC的剩余规则在其同意令重点放在数据收集,网络安全和报告议定书上。
如果Retina-X和小约翰合作的任何监控应用程序都有相关网站,该网站必须有一个主页,明确说明该应用程序只能用于“合法和合法”的目的。对于购买任何此类监控应用程序的用户,必须在任何“购买页面”上提供类似的附加通知,否则将不允许购买。
此外,Retina-X和Johns Jr.必须在120天内,“在进入许可令之前销毁从监控产品或服务收集的所有个人信息”。
Retina-X和Johns Jr.还必须实施一项信息安全计划,并每两年获得该信息安全计划的第三方评估。Retina-X和Johns Jr.公司还必须向联邦贸易委员会提供年度认证,以证明他们所使用的任何监测产品都符合同意令。此外,两家公司必须在发现后10天内向联邦贸易委员会报告“涉及的事件”,比如已经要求各州通报的数据泄露。
最后,如果Retina-X和Johns Jr.决定继续他们的业务,或者开始新的,则必须在一年内提交给FTC的“合规报告”,详细说明主要物理,邮政和电子邮件地址和电话号码,任何业务运营。在未来10年,Retina-X和Johns Jr.必须在14天内向FTC报告,对业务名称和居住地址,任何创建,合并或销售业务或其子公司的任何更改,以及约翰斯JR.具体地,对他的头衔或角色的任何变化。
一个对抗跟踪软件的新战线?
自2014年以来,还没有一个跟踪软件开发者的行为遭到联邦执法部门的反对。那一年,联邦调查局起诉一个男人因涉嫌合谋销售和宣传跟踪软件应用“隐形精灵”。几个月后,一位美国地区法官将永久停止到广告,营销或销售应用程序.
在上周的媒体发布会上,联邦贸易委员会消费者保护局局长史密斯表示,尽管委员会对Retina-X的行动是第一次对跟踪应用开发商的行动,但可能不是最后一次。
史密斯说:“尽管追踪手机可能有正当的理由,但(Retina-X的)应用程序是设计来在后台秘密运行的,特别适合非法和危险的用途。”“在这种情况下,我们将追究设计和营销危险产品的应用程序开发商的责任。”
奥尔森说,FTC在这一领域的工作只是一个更大的难题。
“需要发生什么,需要继续对联邦法律和州法律的差距继续进行对话,这将阻止这些应用程序的发展,或者持有人之后的人员,”奥尔森说。“人们仍然缺乏民事补救措施,以便在这些事情上追求这些事情。”
奥尔森还解释说,为了更好地阻止跟踪软件,需要多管齐下的方法。她说,这包括更好地教育和装备地方执法部门,以发现和检测移动设备上的跟踪软件。
总的来说,联邦贸易委员会的新战线似乎是受欢迎的。然而,针对跟踪软件的努力仍在继续。
奥尔森说:“这是三个应用程序,还有数百个。“还有很多工作要做。”
如果您或亲人是国内虐待的受害者,请记住您可以拨打电话国家家庭暴力热线1-800-799-7233,或者可以通过安全的设备访问他们的网站thehotline.org.
评论