Oracle同意处理联邦贸易委员会指出的Java软件更新存在的欺诈问题

jopen 9年前

近日,Oracle同意处理联邦贸易委员会(FTC)指出的Java软件更新存在的欺诈问题,原因是Oracle欺骗用户,说安装了Java SE的安全更新后即可解决之前存在的安全问题。 根据条款 ,Oracle要向用户提供一些帮助,使之能够轻松卸载不安全的、老版本Java SE。

FTC消费者保护机构总监Jessica Rich说到:“当有亿万台电脑安装了一个公司的软件产品后,对于这家公司来说重要的一点就是要确保其声明都是准确无误的,其安全更新会为软件带来真正的安全“。FTC要求Oracle向Java用户提供必要的工具与信息,帮助其保护自己的电脑。

Oracle的Java SE在消费者使用电脑的过程中为其提供了方方面面的援助,比如说浏览网页、在线游戏、聊天室,以及3D影像等等。

根据FTC的投诉,自从Oracle在2010年收购了Java后, 他们就知道存在一些严重的安全问题会影响到老版本的Java SE 。黑客可以利用这些安全问题,通过恶意软件来获取消费者的账号用户名与密码,还可以通过钓鱼攻击来获取其他敏感的个人信息。在投诉中,FTC说Oracle向消费者保证通过安装最新的Java SE安全更新可以确保消费者的系统变得安全。不过在更新过程中,Oracle并没有告知消费者Java SE更新只会自动删除最近的软件版本,并不会删除电脑上可能已经安装的任何其他老版本的Java SE,同时也不会卸载Java SE version 6 update 10之前的任何版本。这样在更新完Java SE后,消费者的电脑上可能依然会有其他不安全的老版本Java SE存在,这会导致消费者电脑被 钓鱼攻击

根据FTC的投诉,Oracle在2011年就知道其更新过程是不完善的。内部文件表明“Java更新机制并不太彻底,有时根本无法起作用”;大量攻击都是瞄准了消费者电脑上依然存在的老版本Java SE软件。虽然Oracle在网站上提到过移除老版本Java SE的必要性,因为他们存在着安全风险;不过,该信息并未解释更新过程不会自动移除所有老版本Java SE的原因。更新只会移除截止到2014年8月份的最近的Java SE版本。

FTC的投诉指出Oracle没有在声明中披露更新的局限性,只是告诉用户更新会带来安全性的提升,这是一种欺诈行为,违背了FTC法案的第5部分。根据条款,Oracle需要在Java SE更新过程中告知消费者其电脑上是否安装有老版本的软件,并通知他们这些老版本软件存在的安全风险,然后为其提供卸载选项。此外,Oracle还需要通过社交媒体与网站向消费者发布通知,告知解决方案以及如何移除老版本的软件。

投诉还指出,Oracle不允许再向消费者发布任何关于软件隐私与安全,以及卸载Oracle所提供的老版本软件的欺诈性声明。FTC已经就Java SE的更新问题发表了一篇 博文 ,向消费者提供了更多的信息。委员会就投诉问题以及提案进行了一次投票,结果票数是4-0。FTC不久之后会在联邦公报上发布关于此次投诉的说明。此次协定有30天的公示期,从12.21开始到2016年1月,接下来委员会会决定是否进行最后的裁决。各方可以就此提交评论,不过要遵守Web表单的说明。

当委员会“有理由相信”有人或公司违背了法律,他们就会提起行政诉讼,委员会要维护公众的利益。当委员会最终发布了同意令后,这会对未来的行为产生法律效力。如果违背了同意令,那么违背方最高将会被处以$16,000的罚款。

联邦贸易委员会的职责在于促进竞争,保护并指导消费者。感兴趣的读者可以通过 非死book推ter 联系到他们,也可以阅读其 博客 ,并订阅最新的FTC新闻与资源的 新闻稿

来自: http://www.infoq.com/cn/news/2015/12/oracle-agrees-settle-ftc-charges