印度研擬資安新規，手機製造商被迫交出原始碼

印度研擬要求手機製造商向政府提交原始碼，並進行多項軟體設計變更，以強化資安防護，此舉引發蘋果、三星等科技巨頭在檯面下反對。

《路透社》引述 4 名知情人士消息指出，一套包含 83 項資安標準的研擬方案，其中要求在重大軟體更新時通報印度政府等做法，放眼全球並無先例，且有洩露獨家產品細節的風險。

這是印度總理莫迪（Narendra Modi）為提升使用者資安保護所推動的方案，印度擁有近 7.5 億支手機，位居全球第二大的智慧手機市場，然而網路詐騙與資料外洩事件頻傳，迫使政府做出因應措施。

印度電子資訊部次長克瑞希南（S.Krishnan）對《路透社》表示，對於產業的任何合理疑慮，都會以開放的態度加以處理，並補充稱「現在就過度解讀仍言之過早」。該部門發言人表示，由於仍在提案階段並與科技公司進行諮詢，暫時無法進一步評論。

包括蘋果、三星、小米、Google，以及代表這些公司的印度產業組織 MAIT，均未對此發表任何評論。實際上，市場研究機構 Counterpoint Research 估計，使用 Android 作業系統的小米與三星在印度的手機市占率分別是 19%、15%，蘋果 iPhone 則有 5%。

研擬中的「印度電信安全保證要求」（Indian Telecom Security Assurance Requirements），最敏感的一項規定是要求手機製造商提供原始碼，在指定的印度當地實驗室進行分析，可能進一步測試。

印度政府還研擬要求手機製造商進行軟體變更，使預載應用程式可被解除安裝，並能封鎖應用程式在背景使用相機與麥克風，以避免惡意使用。

一份去年 12 月的電子資訊部文件詳述印度官員與蘋果、三星、Google、小米洽談的情況，其中提及「產業方面提出疑慮，認為全世界並沒有任何國家強制要求這類資安規定」。

自 2023 年起草的資安標準，如今成為關注焦點，是因印度政府考慮將其立法、強制實施。知情人士稱，電子資訊部與廠商高層預計本週二再次會面，進行更多討論。

廠商稱原始碼審查與分析「不可行」

印度政府提出的「弱點分析」與「原始碼審查」，要求對手機製造商進行完整的安全評估，之後由印度的測試實驗室透過原始碼審查與分析來核實其說法。

「這不可行，因為涉及機密與隱私」，MAIT 在一份回應印度政府提案的文件指出，「歐盟、北美、澳洲、非洲的主要國家，都未強制要求這類規定。」

印度政府的提案強制手機定期並自動進行惡意程式掃描，並要求手機製造商在向使用者釋出重大軟體更新與安全修補前，必須先通知印度國家通訊安全中心（NCCS）。為此 MAIT 文件則指出，定期的惡意程式掃描會消耗手機電力，而在軟體更新前尋求政府核准「並不實際」，因為更新通常需要即時發布。

印度政府還希望將手機的 Log（系統所發生的活動與事件紀錄）至少在裝置上保存 12 個月。「裝置上並沒有足夠的空間來儲存一整年的 Log」，MAIT 文件寫到。

• Exclusive: India proposes forcing smartphone makers to give source code in security overhaul

（首圖來源：pixabay）