India mengusulkan memaksa produsen smartphone memberikan kode sumber dalam pembaruan keamanan

NEW DELHI, India – India mengusulkan untuk mewajibkan produsen ponsel pintar membagikan kode sumber kepada pemerintah dan melakukan beberapa perubahan perangkat lunak sebagai bagian dari serangkaian langkah keamanan, yang memicu penentangan di balik layar dari raksasa seperti Apple dan Samsung.

Perusahaan teknologi tersebut membantah bahwa paket 83 standar keamanan, yang juga akan mencakup persyaratan untuk memberi tahu pemerintah tentang pembaruan perangkat lunak besar, tidak memiliki preseden global dan berisiko mengungkapkan detail kepemilikan, menurut empat orang yang akrab dengan diskusi dan tinjauan Reuters terhadap dokumen pemerintah dan industri yang bersifat rahasia.

Rencana ini merupakan bagian dari upaya Perdana Menteri Narendra Modi untuk meningkatkan keamanan data pengguna karena penipuan online dan pelanggaran data meningkat di pasar ponsel pintar terbesar kedua di dunia, dengan hampir 750 juta ponsel.

Sekretaris TI S. Krishnan mengatakan kepada Reuters pada hari Sabtu, 10 Januari, "setiap kekhawatiran yang sah dari industri akan ditangani dengan pikiran terbuka", menambahkan bahwa "terlalu dini untuk membaca lebih banyak ke dalamnya".

Juru bicara kementerian mengatakan dalam pernyataan email pada hari Sabtu bahwa mereka tidak dapat memberikan komentar lebih lanjut karena konsultasi yang sedang berlangsung dengan perusahaan teknologi tentang proposal tersebut.

Setelah berita dipublikasikan, pernyataan kementerian TI pada akhir hari Minggu mengatakan bahwa konsultasi tersebut bertujuan untuk mengembangkan "kerangka regulasi yang tepat dan kuat untuk keamanan seluler", dan "secara rutin" terlibat dengan industri "untuk lebih memahami beban teknis dan kepatuhan."

Kementerian TI menambahkan bahwa mereka "membantah pernyataan" bahwa mereka sedang mempertimbangkan untuk meminta kode sumber dari produsen ponsel pintar, tanpa menjelaskan atau memberikan komentar tentang dokumen pemerintah atau industri yang dikutip oleh Reuters.

Tarik-menarik berkelanjutan atas persyaratan pemerintah

Apple, Samsung Korea Selatan, Google, Xiaomi China, dan MAIT, kelompok industri India yang mewakili perusahaan-perusahaan tersebut, tidak menanggapi permintaan komentar.

Persyaratan pemerintah India telah mengganggu perusahaan teknologi sebelumnya. Bulan lalu, pemerintah mencabut perintah yang mewajibkan aplikasi keamanan siber yang dikelola negara pada ponsel di tengah kekhawatiran tentang pengawasan. Tetapi pemerintah mengabaikan lobi tahun lalu dan mewajibkan pengujian ketat untuk kamera keamanan karena ketakutan akan spionase China.

Xiaomi dan Samsung — yang ponselnya menggunakan sistem operasi Android Google — memegang masing-masing 19% dan 15% pangsa pasar India dan Apple 5%, menurut perkiraan Counterpoint Research.

Di antara persyaratan paling sensitif dalam Persyaratan Jaminan Keamanan Telekomunikasi India yang baru adalah akses ke kode sumber — instruksi pemrograman mendasar yang membuat ponsel bekerja. Ini akan dianalisis dan mungkin diuji di laboratorium India yang ditunjuk, dokumen menunjukkan.

Proposal India juga mengharuskan perusahaan untuk melakukan perubahan perangkat lunak untuk memungkinkan aplikasi yang telah diinstal sebelumnya untuk dihapus dan untuk memblokir aplikasi dari menggunakan kamera dan mikrofon di latar belakang untuk "menghindari penggunaan berbahaya."

"Industri menyampaikan kekhawatiran bahwa persyaratan keamanan global belum diberlakukan oleh negara mana pun," kata dokumen kementerian TI bulan Desember yang merinci pertemuan yang diadakan pejabat dengan Apple, Samsung, Google dan Xiaomi.

Standar keamanan, yang disusun pada tahun 2023, kini menjadi sorotan karena pemerintah sedang mempertimbangkan untuk memberlakukannya secara hukum. Kementerian TI dan eksekutif teknologi dijadwalkan bertemu pada hari Selasa untuk diskusi lebih lanjut, kata sumber.

Perusahaan mengatakan tinjauan dan analisis kode sumber 'tidak mungkin'

Produsen ponsel pintar menjaga ketat kode sumber mereka. Apple menolak permintaan China untuk kode sumber antara tahun 2014 dan 2016, dan penegak hukum AS juga telah mencoba dan gagal mendapatkannya.

Proposal India untuk "analisis kerentanan" dan "tinjauan kode sumber" akan mengharuskan produsen ponsel pintar untuk melakukan "penilaian keamanan lengkap," setelah itu laboratorium uji di India dapat memeriksa klaim mereka melalui tinjauan dan analisis kode sumber.

"Ini tidak mungkin… karena kerahasiaan dan privasi," kata MAIT dalam dokumen rahasia yang disusun sebagai tanggapan terhadap proposal pemerintah, dan dilihat oleh Reuters. "Negara-negara besar di Uni Eropa, Amerika Utara, Australia, dan Afrika tidak mewajibkan persyaratan ini."

MAIT meminta kementerian minggu lalu untuk membatalkan proposal tersebut, kata sumber yang memiliki pengetahuan langsung.

Proposal India akan mewajibkan pemindaian malware otomatis dan berkala pada ponsel. Produsen perangkat juga harus memberi tahu Pusat Nasional untuk Keamanan Komunikasi tentang pembaruan perangkat lunak besar dan patch keamanan sebelum merilisnya kepada pengguna, dan pusat tersebut akan memiliki hak untuk mengujinya.

Dokumen MAIT mengatakan pemindaian malware reguler secara signifikan menguras baterai ponsel dan mencari persetujuan pemerintah untuk pembaruan perangkat lunak "tidak praktis" karena mereka perlu diterbitkan dengan segera.

India juga menginginkan log ponsel – catatan digital aktivitas sistemnya – disimpan setidaknya selama 12 bulan di perangkat.

"Tidak ada cukup ruang di perangkat untuk menyimpan peristiwa log 1 tahun," kata MAIT dalam dokumen tersebut. –Rappler.com