O governo indiano propôs uma grande reformulação dos requisitos de segurança para smartphones no âmbito dos "Requisitos de Garantia de Segurança de Telecomunicações da Índia". Isso inclui um pacote de 83 padrões de segurança que visam aprimorar a proteção de dados do usuário em meio ao crescente número de fraudes online e ameaças cibernéticas no vasto mercado de smartphones do país.
Gigantes da tecnologia como Apple e Samsung se opõem à medida , alegando que o pacote não tem precedentes globais dent pode revelar detalhes proprietários e segredos comerciais, especialmente o código-fonte, algo que a Apple protege ferozmente e que, no passado, resistiu em compartilhar com países como os EUA e a China.
No entanto, o país alega que as exigências fazem parte de uma estratégia mais ampla do primeiro-ministro Narendra Modi para fortalecer a segurança cibernética na Índia, que é o segundo maior mercado de smartphones do mundo.
O governo da Índia faz exigências aos fabricantes de celulares
Segue abaixo uma lista de alguns dos requisitos de segurança que a Índia está propondo para fabricantes de smartphones como Apple e Samsung, o que gerou oposição nos bastidores por parte das empresas de tecnologia.
- A divulgação do código-fonte obriga os fabricantes não só a testar, mas também a fornecer o código-fonte proprietário para análise por laboratórios designados pelo governo, com o objetivo dedentvulnerabilidades nos sistemas operacionais dos telefones que poderiam ser exploradas por atacantes.
- Restrições de permissão em segundo plano que impedem os aplicativos de acessar câmeras, microfones ou serviços de localização em segundo plano enquanto os telefones estão inativos e, quando essas permissões estão ativas, uma notificação contínua na barra de status é necessária
- Alertas de revisão de permissões que exigem que os dispositivos exibam periodicamente avisos, incentivando os usuários a revisar todas as permissões dos aplicativos, com notificações contínuas.
- Retenção de registros por um ano, o que exige que os dispositivos armazenem registros de auditoria de segurança, incluindo instalações de aplicativos e registros do sistema, por até 12 meses.
- Verificação periódica de malware, onde os telefones devem verificar periodicamente a presença de malware edentquaisquer aplicativos potencialmente prejudiciais.
- Opção para excluir aplicativos pré-instalados que vêm com o sistema operacional do telefone, exceto aqueles essenciais para as funções básicas do aparelho.
- Informar uma organização governamental antes de liberar quaisquer atualizações importantes ou correções de segurança.
- Avisos de detecção de adulteração que identificam quando os telefones foram desbloqueados (root) ou "jailbroken" e exibem alertas contínuos para recomendar medidas corretivas.
- Proteção anti-rollback que bloqueia permanentemente a instalação de versões antigas de software, mesmo que oficialmente assinadas pelo fabricante, para evitar downgrades de segurança.
O que as empresas de tecnologia pensam sobre os requisitos
O governo indiano defendeu os requisitos de segurança alegando que visam proteger seus cidadãos, uma medida que se alinha com a iniciativa de Narendra Modi em prol da segurança de dados. No entanto, grandes empresas como Samsung, Apple, Xiaomi e Google, representadas pela MAIT, associação industrial indiana que as representa, manifestaram oposição, especialmente em relação ao compartilhamento do código-fonte.
afirmou a MAIT, grupo que representa os fabricantes de smartphones, em um dent elaborado em resposta à proposta do governo. “Os principais países da UE, América do Norte, Austrália e África não exigem esses requisitos.”
Eles alegam que também não existe uma maneira confiável de detectar telefones com jailbreak ou impedir adulterações, afirmando que o sistema anti-rollback carece de padrões e que muitos aplicativos pré-instalados precisam ser mantidos, pois são componentes críticos do sistema.
Segundo uma fonte com conhecimento direto do assunto, a MAIT teria solicitado ao ministério que abandonasse a proposta. Os documentos da empresa também afirmam que a verificação regular de malware consumiria significativamente a bateria de um telefone e que é “impraticável” buscar aprovação governamental para atualizações de software, já que estas devem ser correções oportunas.
Quanto aos registros telefônicos que o governo solicitou que fossem armazenados por pelo menos 12 meses nos dispositivos, a MAIT alega que a maioria dos dispositivos não possui capacidade para armazenar tais registros, tornando o atendimento dessa solicitação impossível.
Em resposta aos pontos levantados pela MAIT, o Secretário de TI, S. Krishnan, afirmou que quaisquer preocupações legítimas do setor serão tratadas com a mente aberta, acrescentando que era “prematuro tirar conclusões precipitadas”
Entretanto, um porta-voz do ministério recusou-se a comentar mais, alegando que as consultas com as empresas de tecnologia sobre as propostas estavam em andamento.
