Indias forslag om å kreve at smarttelefonprodusenter deler kildekode med regjeringen og gjør flere programvareendringer som en del av en rekke sikkerhetstiltak, har ført til motstand bak kulissene fra giganter som Apple og Samsung.
Teknologiselskapene har motarbeidet at pakken med 83 sikkerhetsstandarder, som også vil inkludere et krav om å varsle regjeringen om store programvareoppdateringer, mangler noen global presedens og risikerer å avsløre proprietære detaljer, ifølge fire personer som er kjent med diskusjonene og en Reuters-gjennomgang av konfidensielle myndighets- og industridokumenter.
Planen er en del av statsminister Narendra Modis innsats for å øke sikkerheten til brukerdata etter hvert som nettsvindel og datainnbrudd øker i verdens nest største smarttelefonmarked, med nesten 750 millioner telefoner.
IT-sekretær S. Krishnan sa til Reuters at «enhver legitim bekymring i bransjen vil bli behandlet med et åpent sinn», og la til at det var «for tidlig å lese mer inn i det». En talsperson for departementet sa at de ikke kunne kommentere ytterligere på grunn av pågående konsultasjoner med teknologiselskaper om forslagene.
Apple, Sør-Koreas Samsung, Google, Kinas Xiaomi og MAIT, den indiske industrigruppen som representerer firmaene, svarte ikke på forespørsler om kommentarer.
Indiske myndigheters krav har irritert teknologibedrifter før. I forrige måned tilbakekalte den en ordre som ga mandat til en statlig drevet nettsikkerhetsapp på telefoner på grunn av bekymringer over overvåking. Men regjeringen strøk lobbyvirksomheten til side i fjor og krevde strenge tester for sikkerhetskameraer på grunn av frykt for kinesisk spionasje.
Xiaomi og Samsung – hvis telefoner bruker Googles Android-operativsystem – har henholdsvis 19 % og 15 % av Indias markedsandel og Apple 5 %, anslår Counterpoint Research.
Blant de mest sensitive kravene i de nye Indian Telecom Security Assurance Requirements er tilgang til kildekode – de underliggende programmeringsinstruksjonene som får telefoner til å fungere. Dette vil bli analysert og muligens testet ved utpekte indiske laboratorier, viser dokumentene.
De indiske forslagene krever også at selskaper gjør programvareendringer for å tillate at forhåndsinstallerte apper kan avinstalleres og blokkere apper fra å bruke kameraer og mikrofoner i bakgrunnen for å «unngå ondsinnet bruk».
«Bransjen reiste bekymring for at globalt sikkerhetskrav ikke er pålagt av noe land,» sa et dokument fra IT-departementet i desember som beskriver møter som tjenestemenn holdt med Apple, Samsung, Google og Xiaomi.
Sikkerhetsstandardene, utarbeidet i 2023, er i søkelyset nå da regjeringen vurderer å innføre dem lovlig. IT-departementet og tekniske ledere skal møtes på tirsdag for flere diskusjoner, sa kilder.
Smarttelefonprodusenter vokter nøye kildekoden sin. Apple avslo Kinas forespørsel om kildekode mellom 2014 og 2016, og amerikansk rettshåndhevelse har også forsøkt og ikke klart å få den.
Indias forslag til «sårbarhetsanalyse» og «kildekodegjennomgang» vil kreve at smarttelefonprodusenter utfører en «fullstendig sikkerhetsvurdering», hvoretter testlaboratorier i India kan sjekke påstandene deres gjennom kildekodegjennomgang og analyse.
«Dette er ikke mulig … på grunn av hemmelighold og personvern,» sa MAIT i et konfidensielt dokument utarbeidet som svar på regjeringens forslag, og sett av Reuters. «Største land i EU, Nord-Amerika, Australia og Afrika har ikke mandat til disse kravene.»
MAIT ba departementet forrige uke om å droppe forslaget, sa en kilde med direkte kunnskap.
De indiske forslagene ville kreve automatisk og periodisk skanning av skadelig programvare på telefoner. Enhetsprodusenter vil også måtte informere Nasjonalt senter for kommunikasjonssikkerhet om store programvareoppdateringer og sikkerhetsoppdateringer før de frigis til brukerne, og senteret vil ha rett til å teste dem.
MAITs dokument sier at regelmessig skanning av skadelig programvare tapper telefonens batteri betydelig, og det er «upraktisk» å søke myndighetenes godkjenning for programvareoppdateringer, siden de må utstedes umiddelbart.
India ønsker også at telefonens logger – digitale registreringer av systemaktiviteten – skal lagres i minst 12 måneder på enheten.
«Det er ikke nok plass på enheten til å lagre 1-års logghendelser,» sa MAIT i dokumentet.
