Centrale overheid verbiedt apps die het op afstand uitschakelen van e-rickshaw's mogelijk maken
De Indiase regering heeft besluitvaardige maatregelen genomen door twee smartphone-applicaties uit app stores te verwijderen, na berichten dat deze gebruikt zouden kunnen worden om e-rickshaw's op afstand uit te schakelen. Deze stap is een reactie op de groeiende cybersecurityzorgen rondom internetverbonden voertuigbeheersystemen die worden gebruikt in het enorme Indiase segment van elektrische driewielers.
Het BAT-BMS-beveiligingslek
Het ingrijpen werd ingegeven door berichten dat de in China ontwikkelde applicatie, BAT-BMS, werd misbruikt om e-rickshaw's onbruikbaar te maken. De app, ontwikkeld door Shenzhen Grenergy Technology in China, was oorspronkelijk ontworpen als een legitiem hulpmiddel voor het monitoren van lithiumbatterijparameters zoals spanning en temperatuur.
Er verschenen echter virale video's op sociale media waarop te zien was hoe individuen de app gebruikten om de ontlaadfunctie van de batterij via een Bluetooth-verbinding uit te schakelen. Door deze acties kwamen chauffeurs langs de weg met pech te staan; sommigen meldden zelfs dat ze vreemden moesten betalen om hun voertuig weer aan de gang te krijgen nadat ze het doelwit waren geworden van deze op afstand uitgevoerde uitschakelingen.
Kwetsbaarheden in Battery Management Systems
Voorlopige bevindingen van overheidsfunctionarissen wijzen op een aanzienlijk beveiligingsgat in de budgetmarkt voor e-rickshaw's. Veel voertuigen die momenteel in India rijden, maken gebruik van in China vervaardigde Battery Management Systems (BMS) die niet beschikken over essentiële beveiligingsprotocollen.
Het kernprobleem ligt in de afwezigheid van wachtwoordbeveiliging of robuuste authenticatiefuncties. Omdat deze Bluetooth-geactiveerde lithiumbatterijen draadloze verbindingen binnen een beperkt bereik toestaan, kunnen ongeautoriseerde gebruikers zich gemakkelijk koppelen aan de batterij en de stroomafgifte manipuleren. Dit gebrek aan digitale "sloten" maakt het voortstuwingssysteem van het voertuig kwetsbaar voor iedereen met de juiste applicatie en in de nabijheid.
Overheidsinterventie en de verantwoordelijkheid van app stores
IT-secretaris S Krishnan bevestigde de verwijdering van de applicaties tijdens een CII Cybersecurity Summit en verklaarde dat beide apps onmiddellijk werden verwijderd nadat de autoriteiten hiervan op de hoogte waren gesteld. De regering is nu van plan om in gesprek te gaan met grote app store-aanbieders om strengere controle en zorgvuldigheid (due diligence) te eisen. Het doel is om ervoor te zorgen dat potentieel schadelijke of misbruikbare applicaties worden geïdentificeerd en geblokkeerd voordat ze de consument bereiken.
Naast de actie van de centrale overheid heeft de regering van Delhi het vervoersdepartement opdracht gegeven om de authenticiteit van de BAT-BMS-applicatie te onderzoeken. Minister van Vervoer Pankaj Singh merkte op dat functionarissen de zaak nauwlettend onderzoeken om de volledige omvang van het risico voor het e-mobility-ecosysteem te begrijpen.
Belangrijkste punten
- Onmiddellijke actie ondernomen: De centrale overheid heeft twee apps, waaronder de BAT-BMS-app, uit digitale winkels verwijderd om het op afstand uitschakelen van e-rickshaw's te voorkomen.
- Kritiek beveiligingslek: Budget e-rickshaw's die gebruikmaken van onbeveiligde, in China vervaardigde Battery Management Systems (BMS) missen de wachtwoordbeveiliging die nodig is om Bluetooth-gebaseerde hacking te voorkomen.
- Oproep tot zorgvuldigheid: De overheid zet app store-exploitanten onder druk om strengere controlesystemen te implementeren om te voorkomen dat schadelijke applicaties worden verspreid.
