Il Governo centrale vieta le app che consentono lo spegnimento remoto degli e-rickshaw
Il governo indiano ha intrapreso un'azione decisiva rimuovendo due applicazioni per smartphone dai principali app store, a seguito di segnalazioni secondo cui potrebbero essere utilizzate per disattivare da remoto gli e-rickshaw. Questa mossa mira a contrastare le crescenti minacce alla cybersicurezza all'interno del rapidamente in espansione ecosistema dei veicoli elettrici (EV) in India.
L'ascesa degli exploit per lo spegnimento remoto
L'intervento segue una diffusa preoccupazione scatenata da video virali sui social media che mostrano e-rickshaw rese inoperabili durante il tragitto. L'applicazione principale identificata in queste segnalazioni è BAT-BMS, uno strumento sviluppato da Shenzhen Grenergy Technology in Cina. Sebbene progettata come utility legittima per monitorare lo stato della batteria, la tensione e la temperatura, le funzioni di gestione remota dell'app sarebbero state utilizzate come arma.
L'exploit consente agli utenti di connettersi senza fili alle batterie al litio dotate di Bluetooth entro un determinato raggio d'azione. Una volta connessa, l'app può essere utilizzata per disattivare la funzione di scarica della batteria, spegnendo efficacemente il veicolo e lasciando gli autisti a piedi. In diversi casi segnalati, i conducenti di e-rickshaw hanno affermato di aver dovuto pagare degli sconosciuti solo per riavviare i propri veicoli dopo essere stati colpiti da queste interruzioni digitali.
Vulnerabilità di sicurezza nei Battery Management Systems economici
La vulnerabilità non risiede solo nel software, ma anche nell'hardware utilizzato in molti veicoli elettrici economici in tutta l'India. I funzionari governativi hanno sottolineato che un numero significativo di e-rickshaw utilizza Battery Management Systems (BMS) di produzione cinese che mancano di protocolli di sicurezza robusti.
Queste specifiche unità BMS operano spesso senza protezione da password o i necessari livelli di autenticazione. Questa mancanza di "serrature digitali" rende incredibilmente facile per chiunque si trovi nelle vicinanze con l'app BAT-BMS stabilire una connessione Bluetooth e manipolare l'erogazione di energia. Al dipartimento dei trasporti del governo di Delhi è stato affidato l'incarico di indagare sull'autenticità di queste affermazioni e di valutare i rischi posti dalla gestione della batteria tramite Bluetooth.
Il governo richiede un maggiore controllo agli app store
Parlando al CII Cybersecurity Summit, il Segretario all'informatica S Krishnan ha confermato che il governo è già intervenuto per rimuovere le applicazioni colpevoli. Tuttavia, il governo non si ferma alla rimozione delle app; le autorità mirano ora a ritenere responsabili i fornitori delle piattaforme.
Krishnan ha sottolineato che gli app store devono esercitare livelli molto più elevati di due diligence prima di ospitare applicazioni che potrebbero porre rischi fisici o economici ai cittadini. Il Governo centrale intende confrontarsi con i principali operatori di app store per garantire che software potenzialmente dannosi o sfruttabili vengano intercettati prima di raggiungere il pubblico. Questo incidente evidenzia la critica necessità di normative sulla cybersicurezza standardizzate nel settore della produzione di componenti per EV in India, al fine di prevenire future vulnerabilità.
Punti chiave
- Azione immediata intrapresa: Il Governo centrale ha rimosso due app, tra cui la BAT-BMS sviluppata in Cina, dagli app store per prevenire la disattivazione remota degli e-rickshaw.
- Vulnerabilità dell'hardware: Il problema deriva dalle unità BMS cinesi economiche che mancano di caratteristiche di sicurezza essenziali come la protezione da password e l'autenticazione.
- Spinta normativa: Il Ministero dell'informatica chiede un controllo più rigoroso da parte degli app store per prevenire la distribuzione di applicazioni che possono essere sfruttate per interrompere le infrastrutture fisiche e i trasporti.
