Centrale overheid verwijdert apps na meldingen van op afstand uitschakelen e-rickshaws

De Indiase regering heeft besluitvaardig opgetreden door twee smartphone-applicaties te verwijderen uit grote app-stores, nadat er meldingen naar buiten kwamen dat deze gebruikt konden worden om e-rickshaws op afstand uit te schakelen. Deze stap volgt op groeiende zorgen over kwetsbaarheden op het gebied van cybersecurity in internetverbonden voertuigbeheersystemen die door het hele land worden gebruikt.

Het cybersecurity-lek: Hoe e-rickshaws het doelwit worden

De controverse ontstond nadat virale video's op sociale media lieten zien hoe bepaalde applicaties e-rickshaws halverwege een rit onbruikbaar konden maken. IT-secretaris S Krishnan bevestigde tijdens een CII Cybersecurity Summit dat er actie is ondernomen nadat de overheid specifieke apps, waaronder de van Chinese oorsprong komende "BAT-BMS"-applicatie, als potentiële bedreigingen heeft geïdentificeerd.

Het mechanisme achter deze verstoring berust op het misbruiken van Bluetooth-connectiviteit. Voorlopige bevindingen wijzen erop dat de applicatie gebruikers in staat stelt om draadloos verbinding te maken met Bluetooth-geactiveerde lithiumbatterijen binnen een beperkt bereik. Hoewel de app ogenschijnlijk is ontworpen om batterijparameters zoals spanning en temperatuur te monitoren, zou deze misbruikt zijn om de ontlaadfunctie van de batterij uit te schakelen, waardoor chauffeurs effectief langs de weg komen te staan.

Kwetsbaarheden in in China vervaardigde batterijsystemen

Een cruciale factor in dit beveiligingslek is de hardware die wordt gebruikt in het budgetsegment van elektrische voertuigen in India. Veel e-rickshaws zijn uitgerust met Battery Management Systems (BMS) die worden geproduceerd door Chinese bedrijven, zoals Shenzhen Grenergy Technology.

Functionarissen hebben erop gewezen dat deze budgetvriendelijke systemen vaak essentiële beveiligingsfuncties missen, waaronder robuuste wachtwoordbeveiliging of gebruikersauthenticatie. Dit gebrek aan "digitale vergrendeling" maakt het voor iedereen in de buurt met de juiste app mogelijk om via Bluetooth verbinding te maken met de batterij en de stroomafgifte te manipuleren. In sommige gevallen hebben chauffeurs zelfs gemeld dat ze vreemden moesten betalen om hun voertuig weer te kunnen starten nadat ze het doelwit waren geworden van deze op afstand uitgevoerde uitschakelingen.

Overheid eist strenger toezicht op app-stores

Als reactie op dit incident verschuift de centrale overheid de verantwoordelijkheid naar de platformaanbieders. IT-secretaris Krishnan benadrukte dat app-stores een grotere zorgvuldigheid en strenger toezicht moeten uitoefenen voordat ze applicaties op hun platforms aanbieden. De overheid is van plan in gesprek te gaan met exploitanten van app-stores om ervoor te zorgen dat potentieel schadelijke of misbruikmakende software wordt geïdentificeerd en geblokkeerd voordat deze het publiek bereikt.

Tegelijkertijd heeft de regering van Delhi haar vervoersdepartement gemobiliseerd om de authenticiteit van de BAT-BMS-app en het vermogen ervan om voertuigoperaties via Bluetooth te verstoren, te onderzoeken. Hoewel er op het moment van het eerste onderzoek nog geen formele schriftelijke klachten waren ingediend, heeft het ministerie van vervoer functionarissen opgedragen de zaak grondig te onderzoeken om het levensonderhoud van e-rickshaw-exploitanten te beschermen.

Belangrijkste punten

  • Onmiddellijke actie ondernomen: De overheid heeft met succes twee apps, waaronder de in China gemaakte BAT-BMS, uit app-stores verwijderd om verdere manipulatie van voertuigen op afstand te voorkomen.
  • Hardware-kwetsbaarheid: Het probleem komt voort uit onbeveiligde, Bluetooth-geactiveerde, in China vervaardigde Battery Management Systems (BMS) die geen wachtwoordbeveiliging en authenticatie hebben.
  • Strenger toezicht: Het ministerie van IT zet app-stores aan tot het implementeren van striktere screeningprocessen om de distributie van applicaties te voorkomen die cybersecurityrisico's vormen voor voertuigbezitters.