Il governo indiano ha proposto una revisione radicale dei requisiti di sicurezza degli smartphone nell'ambito degli "Indian Telecom Security Assurance Requirements". Ciò include un pacchetto di 83 standard di sicurezza che dovrebbero migliorare la protezione dei dati degli utenti in un contesto di crescente frode online e minacce informatiche nel vasto mercato degli smartphone del Paese.
I giganti della tecnologia come Apple e Samsung si oppongono a questa mossa , sostenendo che il pacchetto non ha precedenti a livello mondiale dent potrebbe rivelare dettagli proprietari e segreti commerciali, in particolare il codice sorgente, qualcosa che Apple protegge strenuamente e che in passato ha evitato di condividere con paesi come gli Stati Uniti e la Cina.
Tuttavia, il Paese sostiene che le richieste fanno parte della strategia più ampia del Primo Ministro Narendra Modi per rafforzare la sicurezza informatica in India, che è il secondo mercato di smartphone al mondo.
Il governo indiano avanza richieste ai produttori di telefoni
Di seguito è riportato un elenco di alcuni dei requisiti di sicurezza che l'India sta proponendo per i produttori di smartphone come Apple e Samsung, che hanno suscitato l'opposizione dietro le quinte delle aziende tecnologiche.
- Divulgazione del codice sorgente che obbliga i produttori non solo a testare, ma anche a fornire il codice sorgente proprietario per la revisione da parte di laboratori designati dal governo, che dovrebberodentle vulnerabilità nei sistemi operativi dei telefoni che potrebbero essere sfruttate dagli aggressori.
- Restrizioni delle autorizzazioni in background che impediscono alle app di accedere a fotocamere, microfoni o servizi di localizzazione in background mentre i telefoni sono inattivi e, quando tali autorizzazioni sono attive, è richiesta una notifica continua sulla barra di stato
- Avvisi di revisione delle autorizzazioni che richiedono ai dispositivi di visualizzare periodicamente avvisi che invitano gli utenti a rivedere tutte le autorizzazioni delle app, con notifiche continue.
- Conservazione dei registri per un anno, che richiede ai dispositivi di archiviare i registri di controllo della sicurezza, comprese le installazioni delle app e i registri di sistema, per un massimo di 12 mesi.
- Scansione periodica del malware, in cui i telefoni devono eseguire periodicamente la scansione alla ricerca di malware edenteventuali applicazioni potenzialmente dannose.
- Opzione per eliminare le app preinstallate fornite in bundle con il sistema operativo del telefono, ad eccezione di quelle essenziali per le funzioni di base del telefono.
- Informare un'organizzazione governativa prima di rilasciare aggiornamenti importanti o patch di sicurezza.
- Avvisi di rilevamento manomissioni che rilevano quando i telefoni sono stati sottoposti a rooting o "jailbreak" e visualizzano banner di avviso continui per consigliare misure correttive.
- Protezione anti-rollback che blocca in modo permanente l'installazione di versioni software precedenti, anche se ufficialmente firmate dal produttore, per impedire downgrade della sicurezza.
Cosa pensano le aziende tecnologiche dei requisiti
Il governo indiano ha difeso i requisiti di sicurezza sostenendo che servono a proteggere i propri cittadini, una mossa in linea con la spinta di Narendra Modi per la sicurezza dei dati. Tuttavia, importanti aziende come Samsung, Apple, Xiaomi e Google, rappresentate da MAIT, il gruppo industriale indiano che rappresenta queste aziende, hanno espresso la loro contrarietà, soprattutto per quanto riguarda la condivisione del codice sorgente.
"Ciò non è possibile... a causa della segretezza e della privacy", ha affermato in un dent redatto in risposta alla proposta del governo. "I principali paesi dell'UE, del Nord America, dell'Australia e dell'Africa non impongono questi requisiti".
Affermano inoltre che non esiste un modo affidabile per rilevare i telefoni jailbroken o impedirne la manomissione, affermando che la protezione anti-rollback non ha standard e che molte app preinstallate devono essere mantenute in quanto componenti di sistema essenziali.
Secondo una fonte a conoscenza diretta, il MAIT avrebbe chiesto al Ministero di abbandonare la proposta. I documenti dell'azienda affermano inoltre che una scansione regolare del malware consumerebbe significativamente la batteria di un telefono e che è "poco pratico" chiedere l'approvazione del governo per gli aggiornamenti software, poiché dovrebbero essere correzioni tempestive.
Per quanto riguarda i registri telefonici, che il governo ha richiesto di conservare per almeno 12 mesi sui dispositivi, il MAIT sostiene che la maggior parte dei dispositivi non è in grado di memorizzare tali registri, rendendo impossibile soddisfare la richiesta.
In risposta alle osservazioni sollevate dal MAIT, il Segretario IT S. Krishnan ha affermato che qualsiasi preoccupazione legittima del settore verrà affrontata con una mentalità aperta, aggiungendo tuttavia che è "prematuro dare troppe spiegazioni"
Nel frattempo, un portavoce del ministero ha rifiutato di rilasciare ulteriori dichiarazioni, sostenendo che erano in corso consultazioni con le aziende tecnologiche sulle proposte.
