De Indiase overheid heeft een ingrijpende herziening van de smartphonebeveiligingseisen voorgesteld onder de "Indian Telecom Security Assurance Requirements". Dit omvat een pakket van 83 beveiligingsnormen die de bescherming van gebruikersgegevens moeten verbeteren te midden van toenemende online fraude en cyberdreigingen op de enorme smartphonemarkt van het land.
Techgiganten zoals Apple en Samsung verzetten zich tegen deze stap en beweren dat het pakket geen wereldwijde precedent kent en bedrijfsgevoelige details en handelsgeheimen zou kunnen onthullen, met name de broncode, iets dat Apple fel beschermt en in het verleden heeft geweigerd te delen met landen als de VS en China.
Het land beweert echter dat de eisen deel uitmaken van de bredere strategie van premier Narendra Modi om de cyberbeveiliging in India te versterken, dat 's werelds op een na grootste smartphonemarkt is.
Indiase overheid stelt eisen aan telefoonproducenten
Hieronder volgt een lijst van enkele beveiligingseisen die India voorstelt voor smartphoneproducenten zoals Apple en Samsung, wat geleid heeft tot verzet achter de schermen van techbedrijven.
- Openbaarmaking van broncode waarbij fabrikanten verplicht worden om niet alleen te testen maar ook eigendomsrechtelijke broncode te verstrekken voor beoordeling door door de overheid aangewezen laboratoria, die kwetsbaarheden in de besturingssystemen van telefoons moeten identificeren die door aanvallers misbruikt zouden kunnen worden.
- Achtergrondtoestemmingsbeperkingen die apps beperken in het op de achtergrond toegang verkrijgen tot camera's, microfoons of locatiediensten terwijl telefoons inactief zijn, en wanneer die toestemmingen actief zijn, is een continue statusbalkmelding vereist
- Waarschuwingen voor toestemmingscontrole die vereisen dat apparaten periodiek waarschuwingen weergeven die gebruikers vragen alle app-toestemmingen te controleren, met continue meldingen.
- Eenjarig bewaren van logbestanden, waarbij apparaten beveiligingsauditlogboeken moeten opslaan, inclusief app-installaties en systeemlogboeken, voor maximaal 12 maanden.
- Periodiek scannen op malware, waarbij telefoons periodiek moeten scannen op malware en mogelijk schadelijke applicaties moeten identificeren.
- Optie om vooraf geïnstalleerde apps te verwijderen die bij het besturingssysteem van de telefoon worden geleverd, behalve apps die essentieel zijn voor basisfuncties van de telefoon.
- Een overheidsorganisatie informeren voordat grote updates of beveiligingspatches worden uitgebracht.
- Waarschuwingen voor manipulatiedetectie die detecteren wanneer telefoons geroot of "jailbroken" zijn en continue waarschuwingsbanners weergeven om corrigerende maatregelen aan te bevelen.
- Anti-terugdraaibescherming die de installatie van oudere softwareversies permanent blokkeert, zelfs als deze officieel door de fabrikant zijn ondertekend, om beveiligingsdegradatie te voorkomen.
Wat techbedrijven van de eisen vinden
De Indiase overheid heeft de beveiligingseisen verdedigd door te beweren dat het bedoeld is om haar burgers te beschermen, een stap die aansluit bij Narendra Modi's databeveiliging-initiatief. Grote spelers zoals Samsung, Apple, Xiaomi en Google, vertegenwoordigd door MAIT, de Indiase branchegroep die deze bedrijven vertegenwoordigt, hebben echter hun verzet uitgesproken, vooral met betrekking tot het delen van broncode.
"Dit is niet mogelijk ... vanwege geheimhouding en privacy," zei MAIT, de groep die de smartphoneproducenten vertegenwoordigt, in een vertrouwelijk document opgesteld als reactie op het overheidsvoorstel. "Grote landen in de EU, Noord-Amerika, Australië en Afrika verplichten deze eisen niet."
Ze beweren ook dat er geen betrouwbare manier is om jailbroken telefoons te detecteren of manipulatie te voorkomen, en zeggen dat de anti-terugdraaiing geen normen heeft en dat veel vooraf geïnstalleerde apps behouden moeten blijven omdat het kritieke systeemcomponenten zijn.
MAIT heeft naar verluidt het ministerie gevraagd het voorstel in te trekken, volgens een bron met directe kennis. De documenten van het bedrijf vermelden ook dat regelmatig scannen op malware de batterij van een telefoon aanzienlijk zou leegtrekken en dat het "onpraktisch" is om goedkeuring van de overheid te vragen voor software-updates, aangezien dit tijdige oplossingen moeten zijn.
Wat betreft de telefoonlogboeken die de overheid heeft gevraagd om minimaal 12 maanden op apparaten op te slaan, beweert MAIT dat de meeste apparaten niet de capaciteit hebben om dergelijke logboeken op te slaan, waardoor het een onmogelijk te vervullen verzoek is.
Als reactie op de punten die door MAIT zijn aangedragen, beweerde IT-secretaris S. Krishnan dat alle legitieme zorgen van de industrie met een open geest zullen worden behandeld, terwijl hij eraan toevoegde dat het "voorbarig is om er meer in te lezen."
Ondertussen weigerde een woordvoerder van het ministerie verder commentaar te geven en beweerde dat er nog overleg gaande was met de techbedrijven over de voorstellen.
De slimste crypto-geesten lezen onze nieuwsbrief al. Wil je meedoen? Sluit je bij hen aan.
Bron: https://www.cryptopolitan.com/apple-samsung-resist-india-government/
