A Índia propôs exigir que os fabricantes de smartphones compartilhem seu código-fonte com o governo e façam diversas alterações de software como parte de uma série de medidas de segurança, gerando oposição nos bastidores de grandes empresas como Apple e Samsung.
As empresas de tecnologia responderam que o pacote de 83 padrões de segurança, que também inclui um requisito para alertar os governos sobre grandes atualizações de software, não tem precedentes globais e corre o risco de expor informações confidenciais, de acordo com uma análise da Reuters de documentos confidenciais do governo e da indústria e quatro pessoas familiarizadas com as discussões.
O plano faz parte dos esforços do primeiro-ministro indiano, Narendra Modi, para fortalecer a segurança dos dados dos usuários em meio ao aumento de fraudes online e violações de dados no segundo maior mercado mundial de smartphones, com cerca de 750 milhões de telefones celulares.
“Quaisquer preocupações legítimas da indústria serão abordadas sem prejuízo”, disse o secretário de TI, S. Krishnan, à Reuters, acrescentando que era “prematuro continuar a ler o assunto”.
Uma porta-voz do ministério disse que não poderia comentar mais porque a proposta estava sendo discutida com empresas de tecnologia.
O cabo de guerra continua devido às exigências do governo
A Apple, a Samsung da Coreia do Sul, o Google, a Xiaomi da China e o grupo industrial indiano MAIT, que representa estas empresas, não responderam aos pedidos de comentários.
As exigências do governo indiano incomodaram as empresas de tecnologia no passado.
No mês passado, revogou uma ordem que exigia aplicações de segurança cibernética em telemóveis administrados pelo governo, citando preocupações de vigilância. Mas no ano passado o governo ignorou os esforços de lobby e exigiu inspeções mais rigorosas das câmaras de vigilância, citando preocupações sobre a espionagem chinesa.
De acordo com estimativas da Counterpoint Research, Xiaomi e Samsung (que usam o sistema operacional Android do Google em seus telefones) respondem por 19% e 15% da participação de mercado indiano e 5% da Apple, respectivamente.
Um dos mais sensíveis requisitos de garantia de segurança das telecomunicações na Índia é o acesso ao código-fonte, as instruções de programação subjacentes que fazem um telefone funcionar. Isso será analisado e possivelmente testado em um laboratório indiano designado, segundo o documento.
A proposta da Índia também exige que as empresas permitam a desinstalação de aplicativos pré-instalados para “evitar o uso malicioso” e modifiquem o software para impedir que aplicativos usem a câmera ou o microfone em segundo plano.
Um documento de dezembro do Ministério de TI detalha uma reunião com funcionários da Apple, Samsung, Google e Xiaomi, dizendo que “a indústria expressou preocupação com o fato de os requisitos de segurança globais não serem exigidos por nenhum país”.
As normas de segurança a serem estabelecidas em 2023 estão actualmente a atrair a atenção, uma vez que o governo está a considerar impô-las legalmente. O ministério de TI e os executivos da empresa de tecnologia estão programados para se reunir na terça-feira para mais discussões, disseram fontes.
Empresas dizem que revisão e análise de código-fonte são ‘impossíveis’
Os fabricantes de smartphones protegem estritamente seu código-fonte. A Apple rejeitou pedidos de código-fonte da China de 2014 a 2016, e as autoridades dos EUA também tentaram, sem sucesso, obter o código-fonte.
As propostas de “análise de vulnerabilidade” e “revisão de código-fonte” da Índia exigiriam que os fabricantes de smartphones conduzissem uma “avaliação de segurança completa”, após a qual as agências de testes indianas seriam capazes de verificar suas afirmações através de revisão e análise de código-fonte.
“Devido ao sigilo e à privacidade, isto não é possível”, afirmou o MAIT num documento confidencial elaborado após proposta do governo e visto pela Reuters.
“A UE, a América do Norte, a Austrália e os principais países de África não impõem estes requisitos.”
O MAIT pediu na semana passada ao ministério que retirasse a proposta, disseram fontes.
A proposta da Índia exigiria a verificação automática e regular de malware em telefones celulares.
Os fabricantes de dispositivos também serão obrigados a notificar o Centro Nacional de Segurança de Comunicações sobre as principais atualizações de software e patches de segurança antes de serem lançados aos usuários, e o centro terá o direito de testá-los.
O documento do MAIT afirma que verificações regulares de malware podem esgotar significativamente a bateria de um telefone e que as atualizações de software precisam ser emitidas rapidamente, tornando “irreal” buscar a aprovação do governo.
A Índia também exige que os registos dos telemóveis (registos digitais da atividade do sistema) sejam armazenados nos dispositivos durante pelo menos 12 meses.
“Não há espaço suficiente no dispositivo para armazenar eventos de registro de um ano”, disse o MAIT no documento.
