O governo indiano propôs uma grande reformulação dos requisitos de segurança de smartphones ao abrigo dos "Requisitos de Garantia de Segurança das Telecomunicações Indianas". Isto inclui um pacote de 83 normas de segurança que visam melhorar a proteção de dados dos utilizadores, num contexto de aumento de fraudes online e ameaças cibernéticas no massivo mercado de smartphones do país.
Gigantes tecnológicos como a Apple e a Samsung opõem-se à medida, alegando que o pacote carece de qualquer precedente global e poderá revelar detalhes proprietários e segredos comerciais, especialmente o código-fonte, algo que a Apple protege ferozmente e que no passado resistiu a partilhar com países como os EUA e a China.
No entanto, o país afirma que as exigências fazem parte da estratégia mais ampla do Primeiro-Ministro Narendra Modi para reforçar a cibersegurança na Índia, que é o segundo maior mercado de smartphones do mundo.
O governo da Índia faz exigências aos fabricantes de telemóveis
Abaixo está uma lista de alguns dos requisitos de segurança que a Índia está a propor para fabricantes de smartphones como a Apple e a Samsung, o que desencadeou oposição dos bastidores por parte das empresas tecnológicas.
- Divulgação do código-fonte obrigando os fabricantes não só a testar, mas também a fornecer código-fonte proprietário para revisão de segurança por laboratórios designados pelo governo, esperando-se identificar vulnerabilidades nos sistemas operativos dos telemóveis que possam ser exploradas por atacantes.
- Restrições de permissões em segundo plano que impedem as aplicações de aceder a câmaras, microfones ou serviços de localização em segundo plano enquanto os telemóveis estão inativos, e quando essas permissões estão ativas, é necessária uma notificação contínua na barra de estado
- Alertas de revisão de permissões que exigem que os dispositivos apresentem periodicamente avisos solicitando aos utilizadores que revejam todas as permissões das aplicações, com notificações contínuas.
- Retenção de registos durante um ano, que exige que os dispositivos armazenem registos de auditoria de segurança, incluindo instalações de aplicações e registos do sistema, por até 12 meses.
- Verificação periódica de malware, onde os telemóveis devem fazer verificações periódicas de malware e identificar quaisquer aplicações potencialmente prejudiciais.
- Opção de eliminar aplicações pré-instaladas que vêm integradas no sistema operativo do telemóvel, exceto aquelas essenciais para funções básicas do telemóvel.
- Informar uma organização governamental antes de lançar quaisquer atualizações importantes ou correções de segurança.
- Avisos de deteção de adulteração que detetam quando os telemóveis foram desbloqueados (root) ou "jailbroken", e apresentam banners de aviso contínuos para recomendar medidas corretivas.
- Proteção anti-reversão que bloqueia permanentemente a instalação de versões de software mais antigas, mesmo que oficialmente assinadas pelo fabricante, para evitar downgrades de segurança.
O que as empresas tecnológicas pensam dos requisitos
O governo indiano defendeu os requisitos de segurança alegando que visam proteger os seus cidadãos, uma medida que se alinha com o impulso de segurança de dados de Narendra Modi. No entanto, grandes players como Samsung, Apple, Xiaomi e Google, representados pela MAIT, o grupo industrial indiano que representa estas empresas, expressaram oposição, especialmente no que diz respeito à partilha do código-fonte.
"Isto não é possível… devido ao sigilo e privacidade", afirmou a MAIT, o grupo que representa os fabricantes de smartphones, num documento confidencial elaborado em resposta à proposta governamental. "Os principais países da UE, América do Norte, Austrália e África não exigem estes requisitos."
Alegam também que não existe forma fiável de detetar telemóveis desbloqueados ou prevenir adulterações, afirmando que a anti-reversão carece de normas, e que muitas aplicações pré-instaladas precisam de ser mantidas por serem componentes críticos do sistema.
Segundo consta, a MAIT terá pedido ao ministério para abandonar a proposta, de acordo com uma fonte com conhecimento direto. Os documentos da empresa afirmam também que a verificação regular de malware drenaria significativamente a bateria do telemóvel e que é "impraticável" procurar aprovação governamental para atualizações de software, uma vez que estas devem ser correções oportunas.
Quanto aos registos de telemóvel que o governo solicitou que sejam armazenados durante pelo menos 12 meses nos dispositivos, a MAIT afirma que a maioria dos dispositivos não tem capacidade para armazenar tais registos, tornando-se um pedido impossível de cumprir.
Em resposta aos pontos levantados pela MAIT, o Secretário de TI S. Krishnan afirmou que quaisquer preocupações legítimas da indústria serão abordadas com mente aberta, acrescentando que era "prematuro ler mais nisso."
Entretanto, um porta-voz do ministério recusou comentar mais, alegando que a consulta estava em curso com as empresas tecnológicas sobre as propostas.
As mentes mais inteligentes das criptomoedas já leem a nossa newsletter. Quer entrar? Junte-se a eles.
Fonte: https://www.cryptopolitan.com/apple-samsung-resist-india-government/
