中央政府下架与远程关闭电动三轮车相关的应用程序
针对有报告称某些应用程序被用于远程禁用电动三轮车(e-rickshaws)的情况,印度政府已采取果断行动,从各大应用商店下架了两款智能手机应用程序。此举是在国内对互联网联网车辆管理系统脆弱性日益增长的网络安全担忧背景下做出的。
网络安全威胁:BAT-BMS 争议
在社交媒体上广泛流传的视频引发了此次打击行动,视频显示有人利用一款名为 BAT-BMS 的中国应用程序远程关闭电动三轮车。该应用由中国的深圳格瑞能科技(Shenzhen Grenergy Technology)开发,最初设计为监测锂电池健康状况(包括电压和温度等参数)的正规工具。
然而,据报道,该应用的功能已被利用来扰乱当地交通。有人被发现利用该应用关闭电池的放电功能,导致驾驶员实际上被困在路中间。一些驾驶员甚至报告称,在遭到此类远程关闭攻击后,不得不向陌生人付费请求协助重新启动车辆。
廉价电动三轮车的技术漏洞
政府官员的初步调查表明,问题在于不安全的硬件与无线连接的结合。印度许多廉价的电动三轮车使用的是中国制造的电池管理系统(BMS),这些系统缺乏强大的安全协议。
这些系统通常在没有密码保护或高级身份验证措施的情况下运行。由于 BAT-BMS 应用允许用户在有限范围内无线连接支持蓝牙的锂电池,如果系统不安全,任何拥有该应用的人都可能拦截并控制电池的功率输出。这凸显了快速增长的电动汽车(EV)领域在网络安全基础设施方面的重大缺陷。
政府回应与审查呼吁
IT 部秘书 S Krishnan 在一次 CII 网络安全峰会上确认了这些应用的下架,并表示政府在报告出现后立即采取了行动。除了下架应用外,中央政府现在正将注意力转向平台提供商的责任。Krishnan 强调,应用商店在托管可能对用户造成物理或数字风险的应用程序之前,必须履行更严格的尽职调查和审查义务。
在德里,运输部已受命核实 BAT-BMS 应用程序的真实性,并调查有关其基于蓝牙干扰的说法。运输部长 Pankaj Singh 证实,尽管正式的书面请愿书仍在处理中,但官员们在收到各种投诉后正在密切调查此事。
核心要点
- 已采取即时行动: 中央政府已成功从应用商店中下架了两款存在问题的应用程序,以防止电动三轮车被远程禁用。
- 识别出安全漏洞: 该漏洞源于缺乏必要密码保护、且未采取安全措施的中国制造蓝牙电池管理系统(BMS)。
- 更严格的应用治理: IT 部正在推动应用商店开发商实施更严格的审核流程,以防止有害或可被利用的软件流向消费者。
