Guvernul indian a propus o revizuire majoră a cerințelor de securitate pentru smartphone-uri sub „Cerințele Indiene de Asigurare a Securității în Telecomunicații". Aceasta include un pachet de 83 de standarde de securitate care ar trebui să îmbunătățească protecția datelor utilizatorilor în contextul creșterii fraudelor online și amenințărilor cibernetice pe piața masivă de smartphone-uri din țară.
Giganți tehnologici precum Apple și Samsung se opun acestei inițiative, susținând că pachetul nu are niciun precedent global și ar putea dezvălui detalii proprietare și secrete comerciale, în special codul sursă, ceva pe care Apple îl protejează cu fermitate și a refuzat în trecut să îl împărtășească cu țări precum SUA și China.
Cu toate acestea, țara susține că cerințele fac parte din strategia mai amplă a premierului Narendra Modi de consolidare a securității cibernetice în India, care este a doua cea mai mare piață de smartphone-uri din lume.
Guvernul Indiei formulează cerințe pentru producătorii de telefoane
Mai jos este o listă cu unele dintre cerințele de securitate pe care India le propune pentru producători de smartphone-uri precum Apple și Samsung, ceea ce a generat opoziție în culise din partea companiilor tehnologice.
- Dezvăluirea codului sursă obligând producătorii nu doar să testeze, ci și să furnizeze codul sursă proprietar pentru examinare de către laboratoare desemnate de guvern, pentru a identifica vulnerabilități în sistemele de operare ale telefoanelor care ar putea fi exploatate de atacatori.
- Restricții privind permisiunile în fundal care limitează accesul aplicațiilor la camere, microfoane sau servicii de localizare în fundal în timp ce telefoanele sunt inactive, și când aceste permisiuni sunt active, este necesară o notificare continuă în bara de stare
- Alerte de revizuire a permisiunilor care impun dispozitivelor să afișeze periodic avertismente ce solicită utilizatorilor să revizuiască toate permisiunile aplicațiilor, cu notificări continue.
- Păstrarea jurnalelor timp de un an, care impune dispozitivelor să stocheze jurnale de audit de securitate, inclusiv instalări de aplicații și jurnale de sistem, timp de până la 12 luni.
- Scanare periodică pentru malware, în care telefoanele trebuie să scaneze periodic pentru malware și să identifice orice aplicații potențial dăunătoare.
- Opțiunea de a șterge aplicațiile preinstalate care vin împreună cu sistemul de operare al telefonului, cu excepția celor esențiale pentru funcțiile de bază ale telefonului.
- Informarea unei organizații guvernamentale înainte de lansarea oricăror actualizări majore sau patch-uri de securitate.
- Avertismente de detectare a manipulării care detectează când telefoanele au fost root-ate sau „jailbroken" și afișează bannere de avertizare continue pentru a recomanda măsuri corective.
- Protecție anti-rollback care blochează permanent instalarea versiunilor mai vechi de software, chiar dacă sunt semnate oficial de producător, pentru a preveni degradarea securității.
Ce părere au companiile tehnologice despre cerințe
Guvernul indian a apărat cerințele de securitate susținând că sunt menite să protejeze cetățenii săi, o măsură care se aliniază cu demersul lui Narendra Modi privind securitatea datelor. Cu toate acestea, jucători majori precum Samsung, Apple, Xiaomi și Google, reprezentați de MAIT, grupul industrial indian care reprezintă aceste firme, și-au exprimat opoziția, în special în ceea ce privește partajarea codului sursă.
„Acest lucru nu este posibil... din cauza secretului și confidențialității", a declarat MAIT, grupul care reprezintă producătorii de smartphone-uri, într-un document confidențial redactat ca răspuns la propunerea guvernului. „Țările majore din UE, America de Nord, Australia și Africa nu impun aceste cerințe."
Aceștia susțin că nu există, de asemenea, o modalitate fiabilă de a detecta telefoanele jailbroken sau de a preveni manipularea, afirmând că protecția anti-rollback nu are standarde și că multe aplicații preinstalate trebuie păstrate deoarece sunt componente critice ale sistemului.
MAIT ar fi solicitat ministerului să renunțe la propunere, potrivit unei surse cu cunoștință directă. Documentele firmei menționează, de asemenea, că scanarea regulată pentru malware ar epuiza semnificativ bateria unui telefon și că este „nepractică" solicitarea aprobării guvernamentale pentru actualizări software, deoarece acestea ar trebui să fie remedieri prompte.
În ceea ce privește jurnalele telefonice pe care guvernul a solicitat să fie stocate timp de cel puțin 12 luni pe dispozitive, MAIT susține că majoritatea dispozitivelor nu au capacitatea de a stoca astfel de jurnale pe ele, făcându-l o cerință imposibil de îndeplinit.
Ca răspuns la punctele ridicate de MAIT, secretarul IT S. Krishnan a declarat că orice preocupări legitime ale industriei vor fi abordate cu mintea deschisă, adăugând în același timp că este „prematur să se interpreteze mai mult din acest lucru."
Între timp, un purtător de cuvânt al ministerului a refuzat să comenteze mai mult, susținând că consultarea era în desfășurare cu companiile tehnologice privind propunerile.
Cele mai inteligente minți din domeniul crypto citesc deja buletinul nostru informativ. Vrei să te alături? Înscrie-te.
Sursa: https://www.cryptopolitan.com/apple-samsung-resist-india-government/
