A proposta da Índia de exigir que os fabricantes de smartphones compartilhem o código-fonte com o governo e façam diversas alterações de software como parte de uma série de medidas de segurança gerou oposição nos bastidores de gigantes como Apple e Samsung.
As empresas de tecnologia argumentaram que o pacote de 83 padrões de segurança, que também incluiria a exigência de alertar o governo sobre grandes atualizações de software, carece de qualquer precedente global e corre o risco de revelar detalhes proprietários, de acordo com quatro pessoas familiarizadas com as discussões e uma análise da Reuters de documentos confidenciais do governo e da indústria.
O plano faz parte dos esforços do primeiro-ministro Narendra Modi para aumentar a segurança dos dados dos utilizadores à medida que aumentam as fraudes e violações de dados online no segundo maior mercado mundial de smartphones, com quase 750 milhões de telefones.
A proposta faz parte dos esforços do primeiro-ministro Narendra Modi para aumentar a segurança dos dados dos usuários à medida que aumentam as fraudes e violações de dados online na Índia. REUTERS
O secretário de TI, S. Krishnan, disse à Reuters que “quaisquer preocupações legítimas da indústria serão abordadas com a mente aberta”, acrescentando que era “prematuro ler mais sobre isso”. Um porta-voz do ministério disse que não poderia comentar mais devido às consultas em andamento com empresas de tecnologia sobre as propostas.
Apple, Samsung da Coreia do Sul, Google, Xiaomi da China e MAIT, o grupo industrial indiano que representa as empresas, não responderam aos pedidos de comentários.
As exigências do governo indiano já irritaram empresas de tecnologia antes. No mês passado, revogou uma ordem que obrigava um aplicativo estatal de segurança cibernética em telefones em meio a preocupações com a vigilância. Mas o governo deixou de lado o lobby no ano passado e exigiu testes rigorosos para câmeras de segurança devido ao receio de espionagem chinesa.
Xiaomi e Samsung – cujos telefones usam o sistema operacional Android do Google – detêm 19% e 15%, respectivamente, da participação de mercado da Índia e a Apple 5%, estima a Counterpoint Research.
Entre os requisitos mais sensíveis dos novos Requisitos de Garantia de Segurança de Telecomunicações da Índia está o acesso ao código-fonte – as instruções de programação subjacentes que fazem os telefones funcionarem. Isso seria analisado e possivelmente testado em laboratórios indianos designados, mostram os documentos.
As propostas indianas também exigem que as empresas façam alterações de software para permitir a desinstalação de aplicativos pré-instalados e impedir que aplicativos usem câmeras e microfones em segundo plano para “evitar uso malicioso”.
A Apple detém 5% da participação de mercado na Índia. REUTERS
“A indústria levantou preocupações de que os requisitos de segurança globais não tenham sido exigidos por nenhum país”, disse um documento do Ministério de TI de dezembro detalhando reuniões que autoridades mantiveram com Apple, Samsung, Google e Xiaomi.
As normas de segurança, elaboradas em 2023, estão agora em destaque, uma vez que o governo considera impô-las legalmente. O ministério de TI e os executivos de tecnologia devem se reunir na terça-feira para mais discussões, disseram fontes.
Os fabricantes de smartphones protegem de perto seu código-fonte. A Apple recusou o pedido de código-fonte da China entre 2014 e 2016, e as autoridades dos EUA também tentaram e não conseguiram obtê-lo.
A Xiaomi da China detém 19% da participação de mercado da Índia. REUTERS
As propostas da Índia para “análise de vulnerabilidade” e “revisão do código-fonte” exigiriam que os fabricantes de smartphones realizassem uma “avaliação de segurança completa”, após a qual os laboratórios de teste na Índia poderiam verificar as suas afirmações através da revisão e análise do código-fonte.
“Isto não é possível… devido ao sigilo e à privacidade”, disse o MAIT num documento confidencial redigido em resposta à proposta do governo e visto pela Reuters. “Os principais países da UE, América do Norte, Austrália e África não impõem estes requisitos.”
O MAIT pediu ao ministério na semana passada que retirasse a proposta, disse uma fonte com conhecimento direto.
A sul-coreana Samsung detém 15% da participação de mercado na Índia. AFP via Getty Images
As propostas indianas exigiriam a verificação automática e periódica de malware nos telefones. Os fabricantes de dispositivos também teriam de informar o Centro Nacional de Segurança das Comunicações sobre as principais atualizações de software e patches de segurança antes de liberá-los aos usuários, e o centro teria o direito de testá-los.
O documento do MAIT afirma que a verificação regular de malware esgota significativamente a bateria do telefone e que buscar a aprovação do governo para atualizações de software é “impraticável”, pois elas precisam ser emitidas imediatamente.
A Índia também quer que os registros do telefone – registros digitais da atividade do sistema – sejam armazenados no dispositivo por pelo menos 12 meses.
“Não há espaço suficiente no dispositivo para armazenar eventos de registro de 1 ano”, disse o MAIT no documento.
