Theo Reuters, Ấn Độ đã đề xuất gói 83 tiêu chuẩn an ninh, trong đó yêu cầu các nhà sản xuất smartphone khi hoạt động tại nước này phải chia sẻ mã nguồn với chính phủ. Họ cũng được yêu cầu thực hiện một số thay đổi về phần mềm như biện pháp an toàn cho người dùng.
Logo Samsung, Xiaomi, Apple hiển thị trên một chiếc smartphone. Ảnh: Bảo Lâm
Kế hoạch là một phần trong nỗ lực của Thủ tướng Narendra Modi nhằm tăng cường an ninh dữ liệu người dùng trong bối cảnh gian lận trực tuyến và vi phạm dữ liệu gia tăng. Tuy nhiên, Hiệp hội Công nghiệp Công nghệ thông tin Ấn Độ (MAIT), đại diện cho Apple, Samsung, Google, Xiaomi... đã gửi phản hồi lên chính phủ Ấn Độ, nhấn mạnh điều này không thể thực hiện do bí mật doanh nghiệp và các chính sách bảo mật toàn cầu.
"Điều này không thể, do vấn đề bí mật và quyền riêng tư", MAIT cho biết trong tài liệu soạn thảo gửi lên chính phủ Ấn Độ, được Reuters thu thập. "Các quốc gia lớn ở châu Âu, Bắc Mỹ, Australia và châu Phi không có những yêu cầu này".
Theo một số nguồn tin liên quan đến chính phủ và ngành công nghiệp điện tử Ấn Độ, các "ông lớn" như Samsung, Apple đang ngầm phản đối, cho rằng yêu cầu này "thiếu tiền lệ toàn cầu" và có nguy cơ "tiết lộ thông tin độc quyền". Ấn Độ hiện là thị trường smartphone lớn thứ hai thế giới, với hơn 750 triệu smartphone đang hoạt động. Theo Counterpoint Research, Xiaomi và Samsung lần lượt nắm giữ 19% và 15% thị phần tại Ấn Độ, còn Apple chiếm 5%.
Thứ trưởng Công nghệ Thông tin Ấn Độ S. Krishnan cho biết "mọi mối lo ngại chính đáng của ngành sẽ được giải quyết một cách cởi mở", thêm rằng "còn quá sớm để suy diễn về điều đó". Ngày 12/1, đại diện Bộ này cho biết các cuộc tham vấn nhằm phát triển "một khuôn khổ pháp lý phù hợp và vững chắc cho an ninh di động", cũng như "để hiểu rõ hơn về gánh nặng kỹ thuật và tuân thủ", nhưng bác bỏ tuyên bố "đang xem xét tìm kiếm mã nguồn từ nhà sản xuất smartphone". Dù vậy, người này không bình luận thêm.
Theo TechCrunch, các nhà sản xuất smartphone luôn bảo vệ mã nguồn nghiêm ngặt. Apple đã từ chối yêu cầu cung cấp mã nguồn từ Trung Quốc ở giai đoạn 2014-2016. Các cơ quan thực thi pháp luật Mỹ cũng đã cố gắng làm điều tương tự trong một số vụ án cụ thể nhưng không thành công.
Ấn Độ yêu cầu những gì?
Theo gói 83 tiêu chuẩn an ninh, nhà sản xuất smartphone phải thử nghiệm và cung cấp mã nguồn độc quyền cho các phòng thí nghiệm do chính phủ chỉ định xem xét. Mục đích nhằm xác định lỗ hổng trong hệ điều hành điện thoại có thể bị hacker khai thác.
Việc chạy nền cũng bị giới hạn. Các ứng dụng không thể truy cập camera, micro hoặc dịch vụ định vị trong nền khi điện thoại không hoạt động. Khi những quyền này được kích hoạt, cần có thông báo liên tục trên thanh trạng thái. Các nhà sản xuất cho rằng điều này "chưa có tiền lệ trên toàn cầu và không có phương pháp thử nghiệm cụ thể nào được quy định".
Các thiết bị phải định kỳ hiển thị cảnh báo nhắc nhở người dùng xem lại tất cả quyền của ứng dụng, kèm theo thông báo liên tục. Tuy nhiên, các công ty cho rằng thông báo chỉ nên giới hạn ở những quyền "cực kỳ quan trọng".
Các thiết bị cũng phải lưu trữ nhật ký kiểm tra bảo mật trong vòng 12 tháng, gồm cài đặt ứng dụng và các lần đăng nhập. Dù vậy, MAIT lập luận rằng điện thoại không đủ dung lượng lưu trữ đủ cho một năm dữ liệu.
Bên cạnh đó, điện thoại cần quét tìm phần mềm độc hại định kỳ, tự động xác định ứng dụng có khả năng gây hại và đưa ra thông báo. Tuy nhiên, MAIT nhấn mạnh việc thiết bị quét liên tục sẽ làm hao pin và làm giảm hiệu năng phần cứng.
Ấn Độ cũng yêu cầu tất cả ứng dụng cài sẵn cùng với hệ điều hành, trừ những ứng dụng thiết yếu cho chức năng quan trọng nhất, đều có thể xóa được. Các nhà sản xuất cũng phải thông báo cho cơ quan chính phủ trước khi phát hành bất kỳ bản cập nhật lớn hoặc bản vá bảo mật nào. MAIT tiếp tục đánh giá điều này "phi thực tế", bởi các bản vá lỗi phải được triển khai nhanh nhằm bảo vệ người dùng khỏi các cuộc tấn công đang diễn ra. Sự chậm trễ có thể khiến người dùng dễ bị tổn thương.
Ngoài ra, các thiết bị phải hiển thị cảnh báo đã bị "bẻ khóa" hay chưa. Điện thoại phải chặn vĩnh viễn việc cài đặt phiên bản phần mềm cũ hơn, ngay cả khi được nhà sản xuất chính thức ký xác nhận, để ngăn chặn việc hạ cấp bảo mật.
Những tiêu chuẩn an ninh này được đề xuất ban đầu vào năm 2023. Theo một số nguồn tin, Bộ Công nghệ Thông tin Ấn Độ và các giám đốc điều hành công nghệ dự kiến gặp nhau ngày 13/1 để thảo luận thêm.
tổng hợp
