Centrale overheid verwijdert apps na meldingen van op afstand uitschakelen van e-rickshaws

De Indiase regering heeft besluitvaardige maatregelen genomen om twee smartphone-applicaties te verwijderen uit grote app-stores, na verontrustende meldingen dat e-rickshaws op afstand uitgeschakeld kunnen worden. Deze stap volgt op wijdverspreide zorgen over kwetsbaarheden op het gebied van cybersecurity in met internet verbonden voertuigbeheersystemen die in het land worden gebruikt.

De opkomst van remote kaping via BAT-BMS

De controverse nam aan kracht nadat er virale video's op sociale media verschenen waarop te zien was hoe individuen e-rickshaws midden in een rit op afstand uitschakelden. Het belangrijkste hulpmiddel dat met deze incidenten wordt in verband gebracht, is de BAT-BMS-applicatie, ontwikkeld door Shenzhen Grenergy Technology in China. Hoewel de app officieel is ontworpen als een legitieme tool voor batterijbeheer om spanning en temperatuur te monitoren, zijn de functies voor afstandsbediening misbruikt om de voertuigexploitatie te verstoren.

Rapporten wijzen uit dat kwaadwillende actoren de app gebruiken om de ontlaadfunctie van de batterij uit te schakelen, waardoor chauffeurs langs de weg komen te staan. In verschillende gevallen moesten chauffeurs naar verluidt vreemden betalen om hen te helpen hun voertuigen opnieuw te starten nadat ze het doelwit waren geworden van deze op afstand uitgevoerde uitschakelingen.

Cybersecurity-gebreken in budgetvriendelijke e-rickshaw-systemen

De kwetsbaarheid vloeit voort uit een kritieke zwakte in de hardware die in veel budgetvriendelijke e-rickshaws in heel India wordt gebruikt. Veel van deze voertuigen maken gebruik van in China vervaardigde Battery Management Systems (BMS) die geen robuuste beveiligingsprotocollen hebben.

Voorlopige bevindingen van overheidsfunctionarissen suggereren dat deze BMS-units vaak geen wachtwoordbeveiliging of verplichte authenticatie hebben. Omdat de BAT-BMS-app gebruikers de mogelijkheid biedt om draadloos verbinding te maken met Bluetooth-geactiveerde lithiumbatterijen binnen een beperkt bereik, kan iedereen in de buurt toegang krijgen tot het systeem. Eenmaal verbonden kan de gebruiker de stroomafgifte van de batterij manipuleren, waardoor het voertuig effectief wordt uitgeschakeld zonder fysiek contact.

Overheidsreactie en oproepen tot strengere controle van app-stores

IT-secretaris S Krishnan bevestigde de verwijdering van de betreffende applicaties tijdens een CII Cybersecurity Summit. Hij benadrukte dat de interventie van de overheid een directe reactie was op de opkomende dreiging voor de voertuigveiligheid en het levensonderhoud van chauffeurs.

Naast het verwijderen van de apps roept de centrale overheid op tot een grotere mate van zorgvuldigheid van app-store-exploitanten. Krishnan benadrukte dat platforms strengere controles moeten uitvoeren voordat ze applicaties hosten, om ervoor te zorgen dat potentieel schadelijke of misbruikbare tools het publiek niet bereiken. Tegelijkertijd heeft de regering van Delhi de transportafdeling opdracht gegeven om de authenticiteit van de BAT-BMS-app en de mogelijkheid om voertuigen te manipuleren via Bluetooth-verbinding te onderzoeken.

Belangrijkste punten

  • Onmiddellijke actie ondernomen: De Indiase regering heeft met succes twee smartphone-applicaties, waaronder BAT-BMS, uit app-stores verwijderd om verdere manipulatie van e-rickshaws op afstand te voorkomen.
  • Beveiligingskwetsbaarheden: Het probleem onderstreept een aanzienlijk cybersecurity-risico in budgetvriendelijke e-rickshaws die gebruikmaken van niet-geauthenticeerde, Bluetooth-geactiveerde Chinese Battery Management Systems (BMS).
  • Oproep tot verantwoording: De centrale overheid zet app-stores aan om strengere screeningprocessen te implementeren om de verspreiding van software te voorkomen die misbruikt kan worden om de fysieke infrastructuur of voertuigveiligheid in gevaar te brengen.