La proposta dell’India di richiedere ai produttori di smartphone di condividere il codice sorgente con il governo e di apportare diverse modifiche al software come parte di una serie di misure di sicurezza ha suscitato l’opposizione dietro le quinte di giganti come Apple e Samsung.
Le aziende tecnologiche hanno ribattuto che il pacchetto di 83 standard di sicurezza, che includerebbe anche l’obbligo di avvisare il governo in caso di importanti aggiornamenti software, non ha alcun precedente globale e rischia di rivelare dettagli proprietari, secondo quattro persone che hanno familiarità con le discussioni e un’analisi Reuters di documenti riservati del governo e dell’industria.
Il piano fa parte degli sforzi del Primo Ministro Narendra Modi per aumentare la sicurezza dei dati degli utenti mentre le frodi online e le violazioni dei dati aumentano nel secondo mercato di smartphone più grande al mondo, con quasi 750 milioni di telefoni.
Il segretario IT S. Krishnan ha detto a Reuters che “qualsiasi preoccupazione legittima del settore sarà affrontata con una mente aperta”, aggiungendo che è “prematuro leggere di più al riguardo”. Un portavoce del ministero ha affermato di non poter commentare ulteriormente a causa della consultazione in corso con le aziende tecnologiche sulle proposte.
Apple, Samsung della Corea del Sud, Google, Xiaomi della Cina e MAIT, il gruppo industriale indiano che rappresenta le aziende, non hanno risposto alle richieste di commento.
I requisiti del governo indiano hanno già infastidito le aziende tecnologiche. Il mese scorso, ha revocato un’ordinanza che imponeva un’app di sicurezza informatica gestita dallo stato sui telefoni, a causa delle preoccupazioni sulla sorveglianza. Ma lo scorso anno il governo ha messo da parte le pressioni e ha richiesto test rigorosi per le telecamere di sicurezza per paura dello spionaggio cinese.
Xiaomi e Samsung, i cui telefoni utilizzano il sistema operativo Android di Google, detengono rispettivamente il 19% e il 15% della quota di mercato indiana e Apple il 5%, secondo le stime di Counterpoint Research.
Tra i requisiti più sensibili dei nuovi requisiti di garanzia della sicurezza delle telecomunicazioni indiane c’è l’accesso al codice sorgente, ovvero le istruzioni di programmazione sottostanti che fanno funzionare i telefoni. Questo verrebbe analizzato e possibilmente testato in laboratori indiani designati, mostrano i documenti.
Le proposte indiane richiedono inoltre alle aziende di apportare modifiche al software per consentire la disinstallazione delle app preinstallate e per impedire alle app di utilizzare fotocamere e microfoni in background per “evitare un utilizzo dannoso”.
“L’industria ha espresso preoccupazione per il fatto che i requisiti di sicurezza a livello globale non siano stati imposti da nessun paese”, afferma un documento del ministero dell’IT di dicembre che descrive in dettaglio gli incontri che i funzionari hanno tenuto con Apple, Samsung, Google e Xiaomi.
Gli standard di sicurezza, redatti nel 2023, sono sotto i riflettori ora poiché il governo sta valutando la possibilità di imporli legalmente. Il ministero dell’IT e i dirigenti tecnologici si incontreranno martedì per ulteriori discussioni, hanno detto fonti.
I produttori di smartphone custodiscono attentamente il loro codice sorgente. Apple ha rifiutato la richiesta della Cina codice sorgente tra il 2014 e il 2016, e anche le forze dell’ordine statunitensi hanno tentato, senza riuscirci, di ottenerlo.
Le proposte dell’India per l'”analisi delle vulnerabilità” e la “revisione del codice sorgente” richiederebbero ai produttori di smartphone di eseguire una “valutazione completa della sicurezza”, dopo la quale i laboratori di test in India potrebbero verificare le loro affermazioni attraverso la revisione e l’analisi del codice sorgente.
“Ciò non è possibile… a causa della segretezza e della privacy”, ha affermato MAIT in un documento riservato redatto in risposta alla proposta del governo e visto da Reuters. “I principali paesi dell’UE, del Nord America, dell’Australia e dell’Africa non impongono questi requisiti”.
Il MAIT ha chiesto al ministero la scorsa settimana di abbandonare la proposta, ha detto una fonte con conoscenza diretta.
Le proposte indiane imporrebbero la scansione automatica e periodica del malware sui telefoni. I produttori di dispositivi dovrebbero inoltre informare il Centro nazionale per la sicurezza delle comunicazioni sui principali aggiornamenti software e sulle patch di sicurezza prima di rilasciarli agli utenti, e il centro avrebbe il diritto di testarli.
Il documento di MAIT afferma che la scansione periodica del malware consuma in modo significativo la batteria del telefono e che richiedere l’approvazione del governo per gli aggiornamenti software è “impraticabile” poiché devono essere rilasciati tempestivamente.
L’India vuole inoltre che i registri del telefono – registrazioni digitali dell’attività del suo sistema – siano archiviati per almeno 12 mesi sul dispositivo.
“Non c’è abbastanza spazio sul dispositivo per memorizzare gli eventi del registro di 1 anno”, ha affermato MAIT nel documento.
