Regierung entfernt Apps, die mit Fernabschaltung von E-Rikschas in Verbindung stehen
Die indische Regierung hat entschlossen reagiert und zwei Smartphone-Anwendungen aus den App-Stores entfernt, nachdem alarmierende Berichte über Manipulationen an Fahrzeugen aus der Ferne aufgetaucht waren. Diese Apps wurden mutmaßlich dazu verwendet, E-Rikschas außer Betrieb zu setzen, was Fahrer im Stich ließ und erhebliche Cybersicherheitsbedenken im Sektor der Elektrofahrzeuge aufwarf.
Die BAT-BMS-Kontroverse und Fernabschaltungen
Das Durchgreifen folgt auf weit verbreitete Berichte in den sozialen Medien und virale Videos, die zeigen, wie E-Rikschas über die Anwendung „BAT-BMS“ funktionsunfähig gemacht werden konnten. BAT-BMS wurde von Shenzhen Grenergy Technology in China entwickelt und war ursprünglich als legitimes Werkzeug zur Überwachung von Batterieparametern wie Spannung und Temperatur für Lithium-Ionen-Batterien konzipiert.
Die Funktionalität der Anwendung wurde jedoch in Indien ausgenutzt, um den Fahrzeugbetrieb zu stören. Es wurde beobachtet, dass Nutzer die App verwendeten, um sich mit Bluetooth-fähigen Batterien zu verbinden und die Entladefunktion aus der Ferne abzuschalten. Diese Sicherheitslücke führte zu Fällen, in denen E-Rikschafahrer mitten auf der Straße strandeten; einige berichteten sogar, dass sie Fremden Geld bezahlen mussten, damit diese ihnen beim Neustart ihrer Fahrzeuge halfen.
Sicherheitslücken in preiswerten BMS-Systemen
Ein kritischer Aspekt dieser Krise liegt in der auf dem indischen Markt verwendeten Hardware. Vorläufige Erkenntnisse von Regierungsbeamten deuten darauf hin, dass viele preiswerte E-Rikschas in Indien chinesisch hergestellte Batteriemanagementsysteme (BMS) verwenden, die nur über minimale Sicherheitsfunktionen verfügen.
Diesen spezifischen Systemen fehlen oft wesentliche Authentifizierungsprotokolle oder Passwortschutzfunktionen. Da das BMS über Bluetooth kommuniziert, kann sich jeder in einem begrenzten Umkreis drahtlos mit der ungesicherten Batterie verbinden und deren Leistungsabgabe manipulieren. Diese Schwachstelle macht ein Standard-Batteriemanagement-Tool zu einer potenziellen Waffe für Fernsabotage.
Reaktion der Regierung und Forderung nach strengerer App-Store-Kontrolle
IT-Sekretär S Krishnan bestätigte während eines CII Cybersecurity Summit die Entfernung der fraglichen Apps und merkte an, dass die Regierung unmittelbar nach Bekanntwerden der Berichte gehandelt habe. Über die sofortige Entfernung hinaus konzentriert sich die Regierung nun auf systemische Prävention.
Die Regierung plant, die Angelegenheit bei den großen App-Store-Anbietern vorzubringen und fordert eine größere Sorgfaltspflicht (Due Diligence) und strengere Kontrollen, bevor Anwendungen auf deren Plattformen zugelassen werden. Ziel ist es, sicherzustellen, dass Apps mit potenziell schädlichen Funktionen oder solchen, die Hardware-Schwachstellen ausnutzen können, der Öffentlichkeit nicht zur Verfügung stehen. Gleichzeitig hat die Regierung von Delhi ihr Verkehrsministerium angewiesen, die Authentizität der BAT-BMS-App und deren Fähigkeit, Fahrzeuge über Bluetooth-Verbindungen außer Betrieb zu setzen, zu untersuchen.
Wichtigste Erkenntnisse
- Sofortige Maßnahmen ergriffen: Die Zentralregierung hat zwei spezifische Apps, einschließlich BAT-BMS, aus digitalen Stores entfernt, um weitere Fernmanipulationen an E-Rikschas zu verhindern.
- Hardware-Schwachstelle: Das Problem wird durch die Verwendung kostengünstiger, in China hergestellter Batteriemanagementsysteme (BMS) verschärft, denen es an Passwortschutz und sicherer Bluetooth-Authentifizierung mangelt.
- Verschärfte Regulierung: Die Regierung drängt auf eine strengere Kontrolle durch App-Store-Betreiber, um die Verbreitung von Anwendungen zu verhindern, die Schwachstellen im IoT- und Fahrzeugmanagement ausnutzen können.
