Centrale overheid verbiedt apps waarmee e-rickshaws op afstand kunnen worden uitgeschakeld
De Indiase regering heeft besluitvaardig opgetreden door twee smartphone-applicaties te verwijderen uit grote app-stores, na berichten dat deze gebruikt kunnen worden om e-rickshaws op afstand uit te schakelen. Deze maatregel heeft tot doel de groeiende cyberdreigingen binnen het snel expanderende ecosysteem van elektrische voertuigen (EV) in India in te dammen.
De opkomst van exploits voor het op afstand uitschakelen
De harde aanpak volgt op wijdverspreide bezorgdheid, aangewakkerd door virale video's op sociale media waarop te zien is dat e-rickshaws halverwege een rit onbruikbaar worden gemaakt. De belangrijkste applicatie die in deze rapporten wordt geïdentificeerd, is BAT-BMS, een hulpmiddel ontwikkeld door Shenzhen Grenergy Technology in China. Hoewel het is ontworpen als een legitiem hulpmiddel om de batterijstatus, spanning en temperatuur te monitoren, zijn de functies voor beheer op afstand van de app naar verluidt ingezet als wapen.
De exploit stelt gebruikers in staat om draadloos verbinding te maken met Bluetooth-geactiveerde lithiumbatterijen binnen een bepaalde straal. Eenmaal verbonden, kan de app worden gebruikt om de ontlaadfunctie van de batterij uit te schakelen, waardoor het voertuig effectief wordt stilgelegd en chauffeurs strandend achterblijven. In verschillende gerapporteerde gevallen beweerden e-rickshaw-chauffeurs dat ze vreemden moesten betalen om hun voertuigen simpelweg weer te kunnen starten nadat ze het doelwit waren geworden van deze digitale verstoringen.
Beveiligingslekken in budgetvriendelijke Battery Management Systems
De kwetsbaarheid ligt niet alleen in de software, maar ook in de hardware die in veel budgetvriendelijke elektrische voertuigen in heel India wordt gebruikt. Overheidsfunctionarissen hebben erop gewezen dat een aanzienlijk aantal e-rickshaws gebruikmaakt van in China vervaardigde Battery Management Systems (BMS) die geen robuuste beveiligingsprotocollen hebben.
Deze specifieke BMS-units werken vaak zonder wachtwoordbeveiliging of de noodzakelijke authenticatielagen. Dit gebrek aan "digitale sloten" maakt het voor iedereen in de buurt met de BAT-BMS-app ongelooflijk eenvoudig om een Bluetooth-verbinding tot stand te brengen en de stroomafgifte te manipuleren. Het vervoersdepartement van de regering van Delhi heeft de taak gekregen om de authenticiteit van deze claims te onderzoeken en de risico's van Bluetooth-geactiveerd batterijbeheer te beoordelen.
Overheid eist strenger toezicht van app-stores
Tijdens de CII Cybersecurity Summit bevestigde IT-secretaris S Krishnan dat de overheid al heeft opgetreden om de betreffende applicaties te verwijderen. De overheid stopt echter niet bij het verwijderen van de apps; functionarissen willen nu de platformaanbieders verantwoordelijk houden.
Krishnan benadrukte dat app-stores een veel hoger niveau van zorgvuldigheid moeten betrachten voordat ze applicaties hosten die fysieke of economische risico's voor burgers kunnen vormen. De centrale overheid is van plan om in gesprek te gaan met grote app-store-exploitanten om ervoor te zorgen dat potentieel schadelijke of misbruikbare software wordt onderschept voordat deze de consument bereikt. Dit incident onderstreept de kritieke noodzaak voor gestandaardiseerde cybersecurity-regelgeving in de Indiase sector voor de productie van EV-componenten om toekomstige kwetsbaarheden te voorkomen.
Belangrijkste punten
- Onmiddellijke actie ondernomen: De centrale overheid heeft twee apps, waaronder de in China ontwikkelde BAT-BMS, verwijderd uit app-stores om het op afstand uitschakelen van e-rickshaws te voorkomen.
- Hardware-kwetsbaarheid: Het probleem komt voort uit budgetvriendelijke Chinese BMS-units die essentiële beveiligingsfuncties missen, zoals wachtwoordbeveiliging en authenticatie.
- Regulering: Het IT-ministerie roept op tot strenger toezicht door app-stores om de distributie van applicaties te voorkomen die misbruikt kunnen worden om fysieke infrastructuur en transport te verstoren.
