中央政府禁用可远程关闭电动三轮车的应用程序

针对有报告称某些智能手机应用程序可被用于远程禁用电动三轮车的情况,印度政府已采取果断行动,从各大应用商店中下架了这两款应用程序。此举旨在遏制印度快速扩张的电动汽车 (EV) 生态系统中日益增长的网络安全威胁。

远程关闭漏洞利用的兴起

在社交媒体上流传的视频引发了广泛担忧,视频显示电动三轮车在行驶途中突然无法运行。报告中确定的主要应用程序是 BAT-BMS,这是由中国深圳 Grenergy Technology 开发的一款工具。虽然该应用的设计初衷是作为监测电池健康状况、电压和温度的正规实用工具,但据报道,其远程管理功能已被恶意利用。

该漏洞允许用户在特定范围内通过蓝牙无线连接锂电池。一旦连接成功,即可使用该应用关闭电池的放电功能,从而有效地关闭车辆,使驾驶员陷入困境。在几起报告的案例中,电动三轮车司机声称,在遭到这些数字干扰攻击后,他们不得不向陌生人付钱才能重新启动车辆。

低成本电池管理系统的安全缺陷

漏洞不仅存在于软件层面,还存在于印度许多廉价电动汽车所使用的硬件中。政府官员指出,大量电动三轮车使用的是中国制造的电池管理系统 (BMS),这些系统缺乏强大的安全协议。

这些特定的 BMS 单元通常在没有密码保护或必要身份验证层的情况下运行。由于缺乏“数字锁”,任何附近持有 BAT-BMS 应用的人都可以轻而易举地建立蓝牙连接并操控功率输出。德里政府运输部门已受命调查这些说法是否属实,并评估蓝牙电池管理所带来的风险。

政府要求应用商店加强审查

在 CII 网络安全峰会上,IT 部秘书 S Krishnan 证实,政府已经采取行动下架了这些违规应用程序。然而,政府的行动并不仅限于下架应用;官员们现在正寻求让平台提供商承担责任。

Krishnan 强调,应用商店在托管可能对公民造成身体或经济风险的应用程序之前,必须履行更高水平的尽职调查。中央政府打算与各大应用商店运营商进行沟通,以确保潜在有害或可被利用的软件在到达公众手中之前被拦截。此次事件凸显了印度电动汽车零部件制造领域迫切需要标准化的网络安全法规,以防止未来出现类似的漏洞。

核心要点

  • 已采取紧急行动: 中央政府已从应用商店中下架了两款应用程序,包括中国开发的 BAT-BMS,以防止电动三轮车被远程禁用。
  • 硬件漏洞: 问题源于缺乏密码保护和身份验证等基本安全功能的廉价中国制造 BMS 单元。
  • 监管推动: IT 部正呼吁应用商店加强审查,以防止分发可能被利用来破坏物理基础设施和交通系统的应用程序。