Índia propõe forçar fabricantes de smartphones a fornecer código fonte em reestruturação de segurança

NOVA DELI, Índia – A Índia propõe exigir que os fabricantes de smartphones partilhem o código-fonte com o governo e façam várias alterações de software como parte de um conjunto de medidas de segurança, provocando oposição nos bastidores de gigantes como a Apple e a Samsung.

As empresas de tecnologia contestaram que o pacote de 83 normas de segurança, que também incluiria a exigência de alertar o governo sobre atualizações de software importantes, carece de qualquer precedente global e arrisca revelar detalhes proprietários, segundo quatro pessoas familiarizadas com as discussões e uma revisão da Reuters de documentos confidenciais do governo e da indústria.

O plano faz parte dos esforços do Primeiro-Ministro Narendra Modi para aumentar a segurança dos dados dos utilizadores à medida que a fraude online e as violações de dados aumentam no segundo maior mercado de smartphones do mundo, com quase 750 milhões de telefones.

O Secretário de TI S. Krishnan disse à Reuters no sábado, 10 de janeiro, que "quaisquer preocupações legítimas da indústria serão abordadas com mente aberta", acrescentando que era "prematuro ler mais sobre isso".

Um porta-voz do ministério disse numa declaração por e-mail no sábado que não podia comentar mais devido à consulta em curso com empresas tecnológicas sobre as propostas.

Depois da história ter sido publicada, uma declaração do ministério de TI disse no final de domingo que as consultas visam desenvolver "um quadro regulamentar apropriado e robusto para a segurança móvel", e que "rotineiramente" se envolvia com a indústria "para melhor compreender o fardo técnico e de conformidade".

O ministério de TI acrescentou que "refuta a declaração" de que está a considerar solicitar código-fonte dos fabricantes de smartphones, sem elaborar ou comentar sobre os documentos governamentais ou industriais citados pela Reuters.

Cabo de guerra contínuo sobre requisitos governamentais

A Apple, a Samsung da Coreia do Sul, a Google, a Xiaomi da China e a MAIT, o grupo industrial indiano que representa as empresas, não responderam aos pedidos de comentário.

Os requisitos do governo indiano já irritaram empresas de tecnologia antes. No mês passado, revogou uma ordem que exigia uma aplicação de segurança cibernética gerida pelo estado nos telefones em meio a preocupações sobre vigilância. Mas o governo ignorou o lobbying no ano passado e exigiu testes rigorosos para câmaras de segurança devido a receios de espionagem chinesa.

A Xiaomi e a Samsung — cujos telefones usam o sistema operativo Android da Google — detêm 19% e 15%, respetivamente, da quota de mercado da Índia e a Apple 5%, estima a Counterpoint Research.

Entre os requisitos mais sensíveis nos novos Requisitos de Garantia de Segurança de Telecomunicações da Índia está o acesso ao código-fonte — as instruções de programação subjacentes que fazem os telefones funcionar. Isto seria analisado e possivelmente testado em laboratórios indianos designados, mostram os documentos.

As propostas indianas também exigem que as empresas façam alterações de software para permitir que aplicações pré-instaladas sejam desinstaladas e para bloquear aplicações de usar câmaras e microfones em segundo plano para "evitar uso malicioso".

"A indústria levantou preocupações de que globalmente os requisitos de segurança não foram mandatados por nenhum país", disse um documento do ministério de TI de dezembro detalhando reuniões que funcionários realizaram com a Apple, Samsung, Google e Xiaomi.

As normas de segurança, redigidas em 2023, estão agora no centro das atenções à medida que o governo está a considerar impô-las legalmente. Executivos do ministério de TI e de tecnologia devem reunir-se na terça-feira para mais discussões, disseram fontes.

Empresas dizem que revisão e análise de código-fonte 'não é possível'

Os fabricantes de smartphones guardam zelosamente o seu código-fonte. A Apple recusou o pedido da China de código-fonte entre 2014 e 2016, e as autoridades policiais dos EUA também tentaram e falharam em obtê-lo.

As propostas da Índia para "análise de vulnerabilidade" e "revisão de código-fonte" exigiriam que os fabricantes de smartphones realizassem uma "avaliação de segurança completa", após a qual laboratórios de teste na Índia poderiam verificar as suas alegações através de revisão e análise de código-fonte.

"Isto não é possível… devido ao sigilo e privacidade", disse a MAIT num documento confidencial redigido em resposta à proposta do governo, e visto pela Reuters. "Os principais países na UE, América do Norte, Austrália e África não exigem estes requisitos".

A MAIT pediu ao ministério na semana passada para abandonar a proposta, disse uma fonte com conhecimento direto.

As propostas indianas exigiriam varredura automática e periódica de malware nos telefones. Os fabricantes de dispositivos também teriam de informar o Centro Nacional de Segurança de Comunicações sobre atualizações de software importantes e patches de segurança antes de os lançar aos utilizadores, e o centro teria o direito de testá-los.

O documento da MAIT diz que a varredura regular de malware drena significativamente a bateria de um telefone e procurar aprovação governamental para atualizações de software é "impraticável" uma vez que precisam de ser emitidas prontamente.

A Índia também quer que os registos do telefone – registos digitais da sua atividade do sistema – sejam armazenados durante pelo menos 12 meses no dispositivo.

"Não há espaço suficiente no dispositivo para armazenar eventos de registo de 1 ano", disse a MAIT no documento. –Rappler.com