Rząd usuwa aplikacje po doniesieniach o zdalnym wyłączaniu e-riksz
Indyjski rząd podjął zdecydowane działania, usuwając dwie aplikacje na smartfony z głównych sklepów z aplikacjami, po tym jak pojawiły się doniesienia, że mogą być one wykorzystywane do zdalnego unieruchamiania e-riksz. Ruch ten nastąpił w obliczu rosnących obaw dotyczących podatności na cyberataki w systemach zarządzania pojazdami połączonymi z Internetem, używanych w całym kraju.
Naruszenie cyberbezpieczeństwa: Jak e-riksze stają się celem ataków
Kontrowersje wybuchły po tym, jak wiralowe filmy w mediach społecznościowych pokazały, w jaki sposób niektóre aplikacje mogą unieruchomić e-riksze w trakcie jazdy. Sekretarz ds. IT, S Krishnan, potwierdził podczas szczytu ds. cyberbezpieczeństwa CII, że podjęto działania po tym, jak rząd zidentyfikował konkretne aplikacje, w tym pochodzącą z Chin aplikację „BAT-BMS”, jako potencjalne zagrożenia.
Mechanizm stojący za tymi zakłóceniami polega na wykorzystaniu łączności Bluetooth. Wstępne ustalenia sugerują, że aplikacja umożliwia użytkownikom bezprzewodowe połączenie się z litowymi akumulatorami wyposażonymi w Bluetooth w ograniczonym zasięgu. Choć aplikacja jest oficjalnie przeznaczona do monitorowania parametrów baterii, takich jak napięcie i temperatura, donosi się, że została wykorzystana do wyłączenia funkcji rozładowywania akumulatora, co w praktyce pozostawia kierowców bez możliwości dalszej jazdy na drodze.
Podatności w systemach bateryjnych produkowanych w Chinach
Krytycznym czynnikiem w tym przypadku jest sprzęt stosowany w budżetowym segmencie pojazdów elektrycznych w Indiach. Wiele e-riksz jest wyposażonych w systemy zarządzania baterią (BMS) produkowane przez chińskie firmy, takie jak Shenzhen Grenergy Technology.
Urzędnicy zwrócili uwagę, że tym niskobudżetowym systemom często brakuje niezbędnych funkcji bezpieczeństwa, w tym solidnej ochrony hasłem lub uwierzytelniania użytkownika. Brak takiego „cyfrowego blokowania” sprawia, że każda osoba znajdująca się w pobliżu, posiadająca odpowiednią aplikację, może połączyć się z baterią przez Bluetooth i manipulować jej mocą wyjściową. W niektórych przypadkach kierowcy zgłaszali nawet, że byli zmuszani do płacenia obcym osobom za pomoc w uruchomieniu pojazdu po zdalnym wyłączeniu.
Rząd nakazuje większą kontrolę sklepów z aplikacjami
W odpowiedzi na ten incydent rząd centralny przenosi odpowiedzialność na dostawców platform. Sekretarz ds. IT Krishnan podkreślił, że sklepy z aplikacjami muszą zachować większą staranność i dokładniej sprawdzać oprogramowanie przed udostępnieniem go na swoich platformach. Rząd zamierza podjąć rozmowy z operatorami sklepów z aplikacjami, aby zapewnić, że potencjalnie szkodliwe lub wykorzystujące luki oprogramowanie zostanie zidentyfikowane i zablokowane, zanim trafi do użytkowników.
Jednocześnie rząd Delhi zmobilizował swój departament transportu, aby zbadać autentyczność aplikacji BAT-BMS oraz jej zdolność do zakłócania pracy pojazdów poprzez Bluetooth. Choć w momencie rozpoczęcia wstępnego dochodzenia nie złożono żadnych formalnych pisemnych skarg, ministerstwo transportu nakazało urzędnikom dokładne zbadanie sprawy, aby chronić źródła utrzymania operatorów e-riksz.
Kluczowe wnioski
- Podjęto natychmiastowe działania: Rząd skutecznie usunął z aplikacji sklepów dwie aplikacje, w tym produkowaną w Chinach BAT-BMS, aby zapobiec dalszym zdalnym manipulacjom przy pojazdach.
- Podatność sprzętowa: Problem wynika z niezabezpieczonych, wyposażonych w Bluetooth systemów zarządzania baterią (BMS) produkowanych w Chinach, którym brakuje ochrony hasłem i uwierzytelniania.
- Surowszy nadzór: Ministerstwo IT naciska na sklepy z aplikacjami, aby wdrożyły bardziej rygorystyczne procesy weryfikacji, zapobiegające dystrybucji aplikacji stanowiących ryzyko cyberbezpieczeństwa dla właścicieli pojazdów.
