India stelt voor smartphonemakers te dwingen broncode te verstrekken bij beveiligingsherziening

NEW DELHI, India – India stelt voor dat smartphonefabrikanten broncode met de overheid moeten delen en verschillende softwarewijzigingen moeten doorvoeren als onderdeel van een reeks beveiligingsmaatregelen, wat tot achter-de-schermen-verzet leidt van giganten zoals Apple en Samsung.

De techbedrijven hebben aangevoerd dat het pakket van 83 beveiligingsnormen, dat ook een verplichting zou omvatten om de overheid te waarschuwen voor belangrijke software-updates, geen wereldwijd precedent kent en het risico loopt eigendomsgegevens te onthullen, volgens vier bronnen die bekend zijn met de discussies en een Reuters-analyse van vertrouwelijke overheids- en industriedocumenten.

Het plan maakt deel uit van premier Narendra Modi's inspanningen om de beveiliging van gebruikersgegevens te verbeteren, aangezien online fraude en datalekken toenemen in 's werelds op een na grootste smartphonemarkt, met bijna 750 miljoen telefoons.

IT-secretaris S. Krishnan vertelde Reuters op zaterdag 10 januari dat "eventuele legitieme zorgen van de industrie met een open geest zullen worden aangepakt", en voegde eraan toe dat het "voorbarig is om er meer in te lezen".

Een woordvoerder van het ministerie zei in een verklaring per e-mail op zaterdag dat het niet verder kon reageren vanwege lopend overleg met techbedrijven over de voorstellen.

Nadat het verhaal was gepubliceerd, zei een verklaring van het IT-ministerie laat op zondag dat de consultaties gericht zijn op het ontwikkelen van "een passend en robuust regelgevingskader voor mobiele beveiliging", en dat het "routinematig" met de industrie samenwerkt "om de technische en nalevingslast beter te begrijpen."

Het IT-ministerie voegde eraan toe dat het "de verklaring weerspreekt" dat het overweegt broncode van smartphonefabrikanten op te vragen, zonder nader in te gaan op of commentaar te geven op de overheids- of industriedocumenten die door Reuters zijn aangehaald.

Voortdurend touwtrekken over overheidseisen

Apple, het Zuid-Koreaanse Samsung, Google, het Chinese Xiaomi en MAIT, de Indiase branchegroep die de bedrijven vertegenwoordigt, reageerden niet op verzoeken om commentaar.

Indiase overheidseisen hebben technologiebedrijven eerder geïrriteerd. Vorige maand trok het een bevel in dat een door de staat beheerde cyberveiligheidsapp op telefoons verplicht stelde vanwege zorgen over surveillance. Maar de overheid negeerde vorig jaar lobbying en vereiste strenge tests voor beveiligingscamera's vanwege angst voor Chinese spionage.

Xiaomi en Samsung — wiens telefoons Google's Android-besturingssysteem gebruiken — hebben respectievelijk 19% en 15% van het marktaandeel in India en Apple 5%, schat Counterpoint Research.

Een van de meest gevoelige vereisten in de nieuwe Indiase Telecom Security Assurance Requirements is toegang tot broncode — de onderliggende programmeerinstructies die telefoons laten werken. Deze zou worden geanalyseerd en mogelijk getest in aangewezen Indiase laboratoria, blijkt uit de documenten.

De Indiase voorstellen vereisen ook dat bedrijven softwarewijzigingen doorvoeren om vooraf geïnstalleerde apps te kunnen verwijderen en om te voorkomen dat apps camera's en microfoons op de achtergrond gebruiken om "kwaadaardig gebruik te vermijden."

"De industrie uitte zorgen dat wereldwijd beveiligingseisen niet door enig land zijn verplicht gesteld," zei een IT-ministerie document uit december waarin vergaderingen werden beschreven die functionarissen hadden met Apple, Samsung, Google en Xiaomi.

De beveiligingsnormen, opgesteld in 2023, staan nu in de belangstelling omdat de overheid overweegt deze wettelijk op te leggen. IT-ministerie en techbestuurders zullen dinsdag bijeenkomen voor verdere besprekingen, zeiden bronnen.

Bedrijven zeggen dat broncodereview en analyse 'niet mogelijk' zijn

Smartphonefabrikanten bewaken hun broncode nauwlettend. Apple weigerde China's verzoek om broncode tussen 2014 en 2016, en Amerikaanse wetshandhaving heeft ook geprobeerd en gefaald om deze te verkrijgen.

India's voorstellen voor "kwetsbaarheidsanalyse" en "broncodereview" zouden smartphonefabrikanten verplichten een "volledige beveiligingsbeoordeling" uit te voeren, waarna testlaboratoria in India hun claims kunnen controleren door broncodereview en analyse.

"Dit is niet mogelijk... vanwege geheimhouding en privacy," zei MAIT in een vertrouwelijk document opgesteld als reactie op het overheidsvoorstel, en ingezien door Reuters. "Grote landen in de EU, Noord-Amerika, Australië en Afrika verplichten deze eisen niet."

MAIT vroeg het ministerie vorige week het voorstel in te trekken, zei een bron met directe kennis.

De Indiase voorstellen zouden automatische en periodieke malwarescans op telefoons verplicht stellen. Apparaatfabrikanten zouden ook het National Centre for Communication Security moeten informeren over belangrijke software-updates en beveiligingspatches voordat ze aan gebruikers worden vrijgegeven, en het centrum zou het recht hebben om ze te testen.

Het document van MAIT stelt dat regelmatige malwarescans de batterij van een telefoon aanzienlijk leegmaken en dat het zoeken naar goedkeuring van de overheid voor software-updates "onpraktisch" is omdat ze snel moeten worden uitgegeven.

India wil ook dat de logbestanden van de telefoon – digitale records van systeemactiviteit – minimaal 12 maanden op het apparaat worden opgeslagen.

"Er is niet genoeg ruimte op het apparaat om loggebeurtenissen van 1 jaar op te slaan," zei MAIT in het document. –Rappler.com