הממשל מסיר אפליקציות בעקבות דיווחים על השבתת רכבי אלקטרו-ריקשה מרחוק
ממשלת הודו נקטה בצעדים נחרצים והסירה שתי אפליקציות לסמארטפונים מחנויות האפליקציות המרכזיות, לאחר שהתפרסמו דיווחים לפיהם ניתן להשתמש בהן כדי להשבית רכבי אלקטרו-ריקשה (e-rickshaws) מרחוק. מהלך זה מגיע בעקבות חששות גוברים בנוגע לפגיעויות אבטחת סייבר במערכות לניהול רכב מחוברות לאינטרנט המשמשות ברחבי המדינה.
הפריצה לאבטחת הסייבר: כיצד רכבי האלקטרו-ריקשה הופכים למטרה
המחלוקת התפרצה לאחר שסרטונים ויראליים ברשתות החברתיות הראו כיצד אפליקציות מסוימות יכולות להפוך רכבי אלקטרו-ריקשה ללא שמישים באמצע הנסיעה. מזכיר ה-IT, S Krishnan, אישר במהלך ועידת אבטחת הסייבר של ה-CII כי ננקטו צעדים לאחר שהממשלה זיהתה אפליקציות ספציפיות, כולל אפליקציית "BAT-BMS" שמקורה בסין, כאיומים פוטנציאליים.
המנגנון שמאחורי השיבוש הזה כולל ניצול של קישוריות Bluetooth. ממצאים ראשוניים מצביעים על כך שהאפליקציה מאפשרת למשתמשים להתחבר אלחוטית לסוללות ליתיום בעלות Bluetooth בטווח מוגבל. בעוד שהאפליקציה נועדה לכאורה לנטר פרמטרים של הסוללה כגון מתח וטמפרטורה, דווח כי נעשה בה שימוש לרעה כדי לכבות את פונקציית הפריקה של הסוללה, מה שמותיר את הנהגים תקועים בדרכים.
פגיעויות במערכות סוללות מתוצרת סין
גורם קריטי בפרצת האבטחה הזו הוא החומרה המשמשת במגזר רכבים החשמליים בתקציב נמוך בהודו. רכבי אלקטרו-ריקשה רבים מצוידים במערכות לניהול סוללה (BMS) המיוצרות על ידי חברות סיניות, כגון Shenzhen Grenergy Technology.
גורמים רשמיים ציינו כי למערכות זולות אלו חסרים לעיתים קרובות מאפייני אבטחה חיוניים, כולל הגנה חזקה באמצעות סיסמה או אימות משתמש. היעדר "נעילה דיגיטלית" זו מאפשר לכל אדם שנמצא בקרבת מקום עם האפליקציה המתאימה להתחבר לסוללה באמצעות Bluetooth ולשלוט בתפוקת הכוח שלה. במקרים מסוימים, נהגים אף דיווחו כי נאלצו לשלם לאנשים זרים כדי שיעזרו להם להניע מחדש את רכבם לאחר שהיו קורבנות להשבתות מרחוק אלו.
הממשלה מחייבת פיקוח הדוק יותר על חנויות האפליקציות
בתגובה לאירוע זה, הממשלה המרכזית מעבירה את האחריות אל ספקי הפלטפורמות. מזכיר ה-IT, Krishnan, הדגיש כי על חנויות האפליקציות להפעיל בדיקת נאותות ופיקוח קפדניים יותר לפני אירוח אפליקציות בפלטפורמות שלהן. הממשלה מתכוונת ליצור קשר עם מפעילות חנויות האפליקציות כדי להבטיח שתוכנות פוטנציאליות מזיקות או מנצלות יזוהו וייחסמו לפני שהן יגיעו לציבור.
במקביל, ממשלת דלהי גייסה את מחלקת התחבורה שלה כדי לחקור את האמינות של אפליקציית BAT-BMS ואת יכולתה לשבש את פעולת הרכב באמצעות Bluetooth. למרות שלא הוגשו תלונות בכתב רשמיות בזמן החקירה הראשונית, משרד התחבורה הנחה את הפקידים לבחון את הנושא ביסודיות כדי להגן על פרנסתם של מפעילים של רכבי אלקטרו-ריקשה.
נקודות מרכזיות
- פעולה מיידית שננקטה: הממשלה הסירה בהצלחה שתי אפליקציות, כולל ה-BAT-BMS מתוצרת סין, מחנויות האפליקציות כדי למנוע שיבושים מרחוק נוספים ברכבים.
- פגיעות בחומרה: הבעיה נובעת ממערכות לניהול סוללה (BMS) מתוצרת סין, המאפשרות קישוריות Bluetooth ואינן מאובטחות, וחסרות הגנת סיסמה ואימות.
- פיקוח מחמיר יותר: משרד ה-IT דוחף את חנויות האפליקציות ליישם תהליכי סינון קפדניים יותר כדי למנוע הפצת אפליקציות המהוות סיכוני אבטחת סייבר לבעלי רכבים.
