印度提議強制智慧型手機製造商在安全改革中提供原始碼

新德里,印度 – 印度提議要求智慧型手機製造商與政府分享原始碼,並作出多項軟體變更,作為一系列安全措施的一部分,此舉引發了蘋果和三星等科技巨頭的幕後反對。

據四名熟悉討論情況的人士以及路透社查閱的政府和業界機密文件顯示,科技公司反駁稱,這套包含83項安全標準的方案(其中還包括要求就重大軟體更新通知政府)缺乏任何全球先例,並有洩露專有細節的風險。

該計劃是印度總理納倫德拉·莫迪為提升使用者資料安全所做努力的一部分,因為在這個擁有近7.5億部手機的全球第二大智慧型手機市場中,線上詐騙和資料外洩事件正在增加。

資訊科技部部長S. Krishnan於1月10日星期六告訴路透社:「業界任何合理的擔憂都將以開放的態度處理」,並補充說「過早解讀這件事」。

該部一位發言人在星期六的電子郵件聲明中表示,由於正在就這些提案與科技公司進行諮詢,因此無法進一步評論。

報導發布後,資訊科技部在星期日晚間發表聲明稱,諮詢旨在制定「適當且健全的行動裝置安全監管框架」,並「例行性地」與業界接觸,「以更好地了解技術和合規負擔」。

資訊科技部補充說,它「駁斥」正在考慮向智慧型手機製造商索取原始碼的「聲明」,但未詳細說明或評論路透社引用的政府或業界文件。

政府要求引發的持續拉鋸戰

蘋果、南韓三星、Google、中國小米以及代表這些公司的印度產業組織MAIT均未回應評論請求。

印度政府的要求以前曾激怒科技公司。上個月,印度在監控擔憂中撤銷了強制在手機上安裝國營網路安全應用程式的命令。但政府去年無視遊說,出於對中國間諜活動的擔憂,要求對監視攝影機進行嚴格測試。

根據Counterpoint Research的估計,小米和三星(其手機使用Google的Android作業系統)分別占印度市場份額的19%和15%,蘋果占5%。

文件顯示,在新的印度電信安全保證要求中,最敏感的要求之一是存取原始碼——使手機運作的底層程式指令。這將在指定的印度實驗室進行分析,並可能進行測試。

印度的提案還要求公司進行軟體變更,允許解除安裝預裝應用程式,並阻止應用程式在背景使用相機和麥克風,以「避免惡意使用」。

資訊科技部12月的一份文件詳細記錄了官員與蘋果、三星、Google和小米舉行的會議,該文件稱:「業界提出擔憂,稱全球範圍內沒有任何國家強制要求這些安全要求。」

這些於2023年起草的安全標準現在受到關注,因為政府正在考慮以法律形式實施它們。消息人士稱,資訊科技部和科技公司高層定於星期二舉行更多討論。

公司稱原始碼審查、分析「不可能」

智慧型手機製造商嚴密保護其原始碼。蘋果在2014年至2016年間拒絕了中國索取原始碼的要求,美國執法部門也曾嘗試但未能獲得。

印度關於「漏洞分析」和「原始碼審查」的提案將要求智慧型手機製造商進行「完整的安全評估」,之後印度的測試實驗室可以透過原始碼審查和分析來檢查他們的聲明。

MAIT在一份為回應政府提案而起草的機密文件中表示:「由於保密性和隱私性,這是不可能的。」路透社看到了該文件。「歐盟、北美、澳洲和非洲的主要國家都沒有強制要求這些規定。」

一位直接知情的消息人士稱,MAIT上週要求該部撤回該提案。

印度的提案將強制要求在手機上進行自動和定期的惡意軟體掃描。設備製造商還必須在向使用者發布重大軟體更新和安全修補程式之前,通知國家通訊安全中心,該中心將有權對其進行測試。

MAIT的文件稱,定期的惡意軟體掃描會大幅消耗手機電池,而尋求政府批准軟體更新是「不切實際的」,因為它們需要及時發布。

印度還希望手機的日誌——系統活動的數位記錄——在設備上至少儲存12個月。

MAIT在文件中表示:「設備上沒有足夠的空間來儲存1年的日誌事件。」–Rappler.com