Centrale overheid verwijdert apps die gelinkt zijn aan het op afstand uitschakelen van e-rickshaws

De Indiase regering heeft besluitvaardige actie ondernomen door twee smartphone-applicaties uit app stores te verwijderen na verontrustende berichten over het op afstand manipuleren van voertuigen. Deze apps zouden worden gebruikt om e-rickshaws uit te schakelen, waardoor chauffeurs strandden en wat grote cybersecurityzorgen opriep voor de sector van elektrische voertuigen.

De BAT-BMS-controverse en het op afstand uitschakelen

Het ingrijpen volgt op wijdverspreide berichten op sociale media en virale video's die laten zien hoe e-rickshaws onbruikbaar kunnen worden gemaakt via de "BAT-BMS"-applicatie. BAT-BMS, ontwikkeld door Shenzhen Grenergy Technology in China, was oorspronkelijk ontworpen als een legitiem hulpmiddel om batterijparameters zoals spanning en temperatuur van lithium-ionbatterijen te monitoren.

De functionaliteit van de applicatie is echter in India misbruikt om de werking van voertuigen te verstoren. Er werd gezien dat gebruikers de app gebruikten om verbinding te maken met batterijen met Bluetooth-functionaliteit en op afstand de ontlaadfunctie uit te schakelen. Deze exploit heeft geleid tot situaties waarin e-rickshaw-chauffeurs midden op de weg strandden, waarbij sommigen zelfs meldden dat ze vreemden moesten betalen om hun voertuigen weer aan de gang te krijgen.

Beveiligingskwetsbaarheden in budget-BMS-systemen

Een cruciaal aspect van deze crisis ligt in de hardware die op de Indiase markt wordt gebruikt. Voorlopige bevindingen van overheidsfunctionarissen suggereren dat veel budgetvriendelijke e-rickshaws in India gebruikmaken van in China vervaardigde Battery Management Systems (BMS) die slechts minimale beveiligingsfuncties hebben.

Deze specifieke systemen missen vaak essentiële authenticatieprotocollen of wachtwoordbeveiliging. Omdat de BMS via Bluetooth communiceert, kan iedereen binnen een beperkt bereik draadloos verbinding maken met de onbeveiligde batterij en de stroomafgifte manipuleren. Deze kwetsbaarheid verandert een standaard batterijbeheerhulpmiddel in een potentieel wapen voor sabotage op afstand.

Reactie van de overheid en oproep tot strengere controle van app stores

IT-secretaris S Krishnan bevestigde de verwijdering van de betreffende apps tijdens een CII Cybersecurity Summit, waarbij hij opmerkte dat de overheid onmiddellijk heeft gehandeld nadat de berichten aan het licht kwamen. Naast de directe verwijdering verschuift de focus van de centrale overheid nu naar systemische preventie.

De overheid is van plan de kwestie aan te kaarten bij grote app store-aanbieders en eist meer zorgvuldigheid en controle voordat applicaties op hun platforms worden toegelaten. Het doel is om ervoor te zorgen dat apps met potentieel schadelijke mogelijkheden, of apps die hardwarekwetsbaarheden kunnen misbruiken, niet beschikbaar worden gesteld aan het publiek. Tegelijkertijd heeft de regering van Delhi haar vervoersdepartement opdracht gegeven om de echtheid van de BAT-BMS-app en het vermogen ervan om voertuigen uit te schakelen via Bluetooth-verbinding te onderzoeken.

Belangrijkste punten

  • Onmiddellijke actie ondernomen: De centrale overheid heeft twee specifieke apps, waaronder BAT-BMS, uit digitale winkels verwijderd om verdere manipulatie van e-rickshaws op afstand te voorkomen.
  • Hardwarekwetsbaarheid: Het probleem wordt verergerd door het gebruik van goedkope, in China vervaardigde Battery Management Systems (BMS) die geen wachtwoordbeveiliging en veilige Bluetooth-authenticatie hebben.
  • Verhoogde regulering: De overheid pleit voor strengere controle door app store-exploitanten om de distributie van applicaties te voorkomen die IoT- en voertuigbeheer-kwetsbaarheden kunnen misbruiken.