Por Munsif Vengattil e Aditya Kalra
NOVA DELI, 11 de janeiro (Reuters) – Abaixo estão os principais requisitos de segurança que a Índia está propondo para fabricantes de smartphones como Apple e Samsung, gerando oposição de empresas de tecnologia, de acordo com quatro fontes, bem como documentos da indústria e do governo vistos pela Reuters.
DIVULGAÇÃO DO CÓDIGO FONTE:
Os fabricantes devem testar e fornecer código-fonte proprietário para revisão por laboratórios designados pelo governo para identificar vulnerabilidades em sistemas operacionais telefônicos que possam ser exploradas por invasores.
O grupo industrial MAIT, que representa a Apple, a Samsung da Coreia do Sul, o Google e a Xiaomi da China, disse ao governo que isso “não é possível” devido ao sigilo corporativo e às políticas globais de privacidade.
RESTRIÇÕES DE PERMISSÃO DE FUNDO:
Os aplicativos não podem acessar câmeras, microfones ou serviços de localização em segundo plano quando os telefones estão inativos. Notificações contínuas da barra de status são necessárias quando essas permissões estão ativas.
Os fabricantes dizem que isso não tem precedente global e que não existe um método de teste específico prescrito.
ALERTAS DE REVISÃO DE PERMISSÃO:
Os dispositivos devem exibir avisos periodicamente solicitando que os usuários revisem todas as permissões do aplicativo, com notificações contínuas. As empresas dizem que o aviso deve ser limitado a permissões “altamente críticas”.
RETENÇÃO DE REGISTRO DE UM ANO:
Os dispositivos devem armazenar registros de auditoria de segurança, incluindo instalações de aplicativos e tentativas de login, por 12 meses.
O MAIT argumenta que os telefones de consumo não têm capacidade de armazenamento para um ano de dados.
VERIFICAÇÃO PERIÓDICA DE MALWARE:
Os telefones devem verificar periodicamente se há malware e identificar aplicativos potencialmente prejudiciais.
Os fabricantes alertam que a verificação constante no dispositivo esgota significativamente a bateria e diminui o desempenho do hardware.
OPÇÃO PARA REMOVER APLICATIVOS PRÉ-INSTALADOS:
Todos os aplicativos pré-instalados que acompanham o sistema operacional do telefone, exceto aqueles essenciais para funções básicas do telefone, devem ser excluíveis.
As empresas argumentam que muitos aplicativos são componentes críticos do sistema que não podem ser removidos.
INFORMANDO O GOVERNO SOBRE AS PRINCIPAIS ATUALIZAÇÕES:
Os fabricantes de telefones devem notificar uma organização governamental antes de lançar quaisquer atualizações importantes ou patches de segurança.
Os fabricantes argumentam que isso é “impraticável” porque as correções de segurança devem ser lançadas rapidamente para proteger os usuários de explorações ativas, enquanto atrasos governamentais podem deixar os usuários vulneráveis.
AVISOS DE DETECÇÃO DE VIOLAÇÃO:
Os dispositivos devem detectar se os telefones foram enraizados ou “desbloqueados”, onde os usuários ignoram as restrições de segurança integradas e exibem banners de aviso contínuos para recomendar medidas corretivas.
As empresas dizem que não existe um mecanismo confiável para detectar o jailbreak.
PROTEÇÃO ANTI-ROLLBACK:
Os telefones devem bloquear permanentemente a instalação de versões de software mais antigas, mesmo que assinadas oficialmente pelo fabricante, para evitar downgrades de segurança.
Não existe um padrão global relacionado a esse requisito, dizem os fabricantes.
(Reportagem de Munsif Vengattil e Aditya Kalra; Edição de William Mallard)