הממשל אוסר על אפליקציות המאפשרות כיבוי מרחוק של רכבי אלקטרו-ריקשה

ממשלת הודו נקטה בצעדים נחרצים והסירה שתי אפליקציות לסמארטפונים מחנויות האפליקציות המרכזיות, בעקבות דיווחים לפיהם ניתן להשתמש בהן כדי להשבית רכבי אלקטרו-ריקשה (e-rickshaws) מרחוק. מהלך זה נועד לבלום איומי סייבר גוברים בתוך המערכת האקולוגית של כלי רכב חשמליים (EV), המתפתחת במהירות בהודו.

עלייתן של פרצות לכיבוי מרחוק

המהלך מגיע בעקבות דאגה רחבה שעוררו סרטונים ויראליים ברשתות החברתיות, המראים רכבי אלקטרו-ריקשה שהפכו ללא שמישים באמצע הנסיעה. האפליקציה העיקרית שזוהתה בדיווחים אלו היא BAT-BMS, כלי שפותח על ידי Shenzhen Grenergy Technology בסין. למרות שהיא תוכננה ככלי עזר לגיטימי לניטור מצב הסוללה, המתח והטמפרטורה, דווח כי תכונות הניהול מרחוק של האפליקציה שימשו כנשק.

הפרצה מאפשרת למשתמשים להתחבר אלחוטית לסוללות ליתיום בעלות Bluetooth בטווח מסוים. לאחר החיבור, ניתן להשתמש באפליקציה כדי לכבות את פונקציית הפריקה של הסוללה, מה שמשבית בפועל את הרכב ומשאיר את הנהגים תקועים. במספר מקרים שדווחו, נהגי אלקטרו-ריקשה טענו כי נאלצו לשלם לאנשים זרים רק כדי להניע מחדש את רכבם לאחר שהיו יעד להפרעות דיגיטליות אלו.

פרצות אבטחה במערכות ניהול סוללה בתקציב נמוך

הפגיעות אינה טמונה רק בתוכנה, אלא גם בחומרה המשמשת בכלי רכב חשמליים רבים וזולים ברחבי הודו. גורמים ממשלתיים ציינו כי מספר משמעותי של רכבי אלקטרו-ריקשה משתמשים במערכות ניהול סוללה (BMS) מתוצרת סין שחסרות פרוטוקולי אבטחה חזקים.

יחידות BMS ספציפיות אלו פועלות לעיתים קרובות ללא הגנת סיסמה או שכבות אימות נחוצות. היעדר "מנעולים דיגיטליים" אלו מקל מאוד על כל אדם שנמצא בקרבת מקום עם אפליקציית BAT-BMS ליצור חיבור Bluetooth ולשלוט בתפוקת הכוח. מחלקת התחבורה של ממשלת דלהי הוטלה עליה לבדוק את אמיתות הטענות הללו ולהעריך את הסיכונים הנובעים מניהול סוללה מבוסס Bluetooth.

הממשלה דורשת פיקוח הדוק יותר מצד חנויות האפליקציות

במהלך כנס CII Cybersecurity Summit, אישר מזכיר ה-IT, S Krishnan, כי הממשלה כבר פעלה להסרת האפליקציות הבעייתיות. עם זאת, הממשלה לא עוצרת בהסרת האפליקציות; גורמים רשמיים שואפים כעת להטיל אחריות על ספקי הפלטפורמות.

Krishnan הדגיש כי על חנויות האפליקציות להפעיל רמות גבוהות בהרבה של בדיקת נאותות (due diligence) לפני אירוח אפליקציות שעלולות להוות סיכון פיזי או כלכלי לאזרחים. הממשלה מתכוונת ליצור קשר עם מפעילי חנויות אפליקציות מרכזיים כדי להבטיח שתוכנות פוטנציאלית מזיקות או ניתנות לניצול ייעצרו לפני שהן מגיעות לציבור. תקרית זו מדגישה את הצורך הקריטי בתקנות סייבר סטנדרטיות במגזר ייצור רכיבי ה-EV בהודו כדי למנוע פגיעות עתידיות.

נקודות מרכזיות

  • פעולה מיידית שננקטה: הממשלה המרכזית הסירה שתי אפליקציות, כולל ה-BAT-BMS שפותחה בסין, מחנויות האפליקציות כדי למנוע השבתה מרחוק של רכבי אלקטרו-ריקשה.
  • פגיעות בחומרה: הבעיה נובעת מיחידות BMS סיניות זולות החסרות תכונות אבטחה חיוניות כמו הגנת סיסמה ואימות.
  • דחיפה רגולטורית: משרד ה-IT קורא לפיקוח מחמיר יותר מצד חנויות האפליקציות כדי למנוע הפצה של אפליקציות שניתן לנצל כדי לשבש תשתיות פיזיות ותחבורה.