Centrale overheid verbiedt apps na meldingen van op afstand uitschakelen van e-rickshaw's

De Indiase regering heeft besluitvaardige maatregelen genomen door twee smartphone-applicaties te verwijderen uit grote app-stores, naar aanleiding van verontrustende meldingen dat e-rickshaw's op afstand werden uitgeschakeld. Deze aanpak volgt op groeiende cybersecurityzorgen over de kwetsbaarheid van internetverbonden voertuigbeheersystemen die worden gebruikt in de enorme elektrische voertuigsector van het land.

De BAT-BMS-controverse en verstoringen op afstand

De controverse brak uit nadat er virale video's op sociale media opdoken waarop te zien was hoe individuen een applicatie genaamd BAT-BMS gebruikten om e-rickshaw's op afstand uit te schakelen. De app, ontwikkeld door Shenzhen Grenergy Technology in China, was oorspronkelijk ontworpen als een legitiem hulpmiddel voor het monitoren van de batterijstatus, inclusief parameters zoals spanning en temperatuur.

De afstandsbedieningsfuncties van de applicatie zijn echter misbruikt om de voertuigexploitatie te verstoren. Door via Bluetooth verbinding te maken met compatibele lithiumbatterijen, hebben ongeautoriseerde gebruikers de ontlaadfunctie van de batterij kunnen uitschakelen, waardoor chauffeurs effectief strandden midden op de weg. Sommige chauffeurs meldden zelfs dat ze vreemden moesten betalen om hun voertuigen weer te helpen starten nadat ze het doelwit waren geworden van deze digitale uitschakelingen.

Kwetsbaarheden in in China vervaardigde BMS-systemen

Het incident heeft een kritiek beveiligingslek in het budgetsegment van de Indiase e-rickshaw's onder de aandacht gebracht. Voorlopige bevindingen van overheidsfunctionarissen suggereren dat veel e-rickshaw's in India gebruikmaken van in China vervaardigde Battery Management Systems (BMS) die geen essentiële beveiligingsfuncties hebben.

Deze systemen werken vaak zonder wachtwoordbeveiliging of robuuste authenticatieprotocollen. Omdat de BAT-BMS-app gebruikers in staat stelt om draadloos verbinding te maken met Bluetooth-geactiveerde lithiumbatterijen binnen een beperkt bereik, maakt het gebrek aan beveiliging het voor iedereen in de nabijheid gemakkelijk om het signaal op te vangen en de stroomuitvoer uit te schakelen. Deze kwetsbaarheid verandert een diagnostisch hulpmiddel in een potentieel wapen voor digitale intimidatie en diefstal.

Overheidsreactie en eisen voor strenger toezicht

IT-secretaris S Krishnan bevestigde de verwijdering van de apps tijdens een CII Cybersecurity Summit en verklaarde dat de regering direct actie heeft ondernomen nadat het probleem aan het licht kwam. Naast de verwijdering van de specifieke apps, roept de centrale overheid nu op tot een grotere verantwoordelijkheid van wereldwijde app-storeproviders.

Krishnan benadrukte dat app-stores een veel hoger niveau van gepaste zorgvuldigheid en toezicht moeten uitoefenen voordat ze applicaties op hun platforms hosten. De regering is van plan de kwestie bij deze providers aan te kaarten om ervoor te zorgen dat potentieel schadelijke of misbruikbare software niet beschikbaar wordt gesteld aan het publiek. Ondertussen is het vervoersdepartement van de regering van Delhi belast met het onderzoeken van de authenticiteit van de BAT-BMS-applicatie en de specifieke Bluetooth-gebaseerde kwetsbaarheden ervan.

Belangrijkste punten

  • Directe actie: De Indiase regering heeft twee apps, waaronder de in China ontwikkelde BAT-BMS, verwijderd uit app-stores om verdere op afstand uitschakeling van e-rickshaw's te voorkomen.
  • Beveiligingslek: Veel budget e-rickshaw's maken gebruik van onbeveiligde, in China vervaardigde Battery Management Systems (BMS) die geen wachtwoordbeveiliging hebben, waardoor ze kwetsbaar zijn voor Bluetooth-gebaseerde aanvallen.
  • Regulering en toezicht: De centrale overheid eist strenger toezicht en meer zorgvuldigheid van app-storeplatforms om de distributie van schadelijke of misbruikbare applicaties te voorkomen.