A Índia deu um passo importante para aumentar a segurança cibernética em seu setor de veículos elétricos, ordenando a remoção de três aplicativos móveis chineses, BAT-BMS, Lossigy e Epoch-i-ion, das lojas de aplicativos depois que foi descoberto que eles eram usados indevidamente para carros remotos movidos a bateria.
Imagem: Foto de arquivo do primeiro-ministro Narendra Modi sentado em um e-riquixá. Foto: Cortesia: Redação
Ponto importante
- O governo indiano ordenou a remoção de três aplicativos chineses – BAT-BMS, Lossigy e Epoch-i-ion – da loja de aplicativos devido ao suposto uso indevido de carros movidos a bateria remotamente.
- A ação segue um vídeo nas redes sociais que mostra riquixás elétricos sendo imobilizados por meio de um recurso de desligamento remoto vinculado ao aplicativo BAT-BMS.
- A preocupação decorre da falta de autenticação em alguns sistemas de gerenciamento de bateria (BMS) habilitados para Bluetooth usados em veículos eletrônicos de baixo custo, permitindo acesso remoto não autorizado.
- BAT-BMS, desenvolvido pela Shenzhen Grenergy Technology Co. China, um aplicativo habilitado para Bluetooth para monitoramento e gerenciamento de baterias de lítio, não se destina ao controle de veículos.
- O governo está a colaborar com os operadores do mercado de aplicações para impedir a distribuição de aplicações que representam riscos de segurança cibernética e bloqueará outras aplicações que facilitem a utilização indevida.
O governo ordenou a remoção de três aplicativos móveis chineses – BAT-BMS, Lossigy e Epoch-i-ion – das lojas de aplicativos depois de terem sido supostamente usados indevidamente para desativar remotamente carros movidos a bateria na Índia, disseram fontes oficiais na sexta-feira, em meio a preocupações crescentes sobre riscos de segurança cibernética em sistemas móveis conectados à Internet.
Evento de desativação remota
A ação segue o surgimento de vários vídeos nas redes sociais mostrando riquixás elétricos inoperantes por meio do recurso de desligamento remoto vinculado ao aplicativo BAT-BMS.
O vídeo levanta preocupações sobre a capacidade de aplicações de terceiros acederem remotamente e controlarem funções críticas do veículo, levantando questões sobre as proteções de segurança cibernética incorporadas nos sistemas de gestão de baterias utilizados em veículos elétricos.
Fontes governamentais disseram que os três aplicativos foram usados indevidamente para desativar remotamente veículos movidos a bateria e foram ordenados a serem removidos da loja de aplicativos.
Eles acrescentaram que as autoridades também agirão para bloquear outros aplicativos que facilitem o mesmo uso indevido.
Fontes disseram que o governo também está colaborando com os comerciantes de aplicativos para evitar a distribuição de aplicativos que possam representar riscos à segurança cibernética.
Sobre o aplicativo
BAT-BMS é um aplicativo de gerenciamento de bateria habilitado para Bluetooth desenvolvido pela Shenzhen Grenergy Technology da China para monitorar e gerenciar baterias de lítio compatíveis.
O aplicativo permite que os usuários visualizem os parâmetros da bateria, como nível de carga, tensão, corrente e temperatura, e controlem as funções de carga e descarga em baterias compatíveis.
Preocupações com a falta de autenticação em alguns sistemas de gerenciamento de bateria habilitados para Bluetooth usados em e-riquixás de baixo custo supostamente permitem que usuários não autorizados dentro do alcance do Bluetooth desativem remotamente o veículo.
O BAT-BMS funciona dentro de um alcance Bluetooth de cerca de 15 metros e pode se conectar a várias baterias simultaneamente.
O aplicativo em si é comercializado como um dispositivo de monitoramento e gerenciamento de bateria, e não como um aplicativo de controle de veículo.
Lossigy e Epoch-i-ion (Epoch Li-ion) são aplicações BMS semelhantes usadas com baterias de lítio habilitadas para Bluetooth de outros fabricantes.
Exploração do risco
O vídeo viral mostra pessoas se aproximando de e-riquixás, emparelhando-os com baterias compatíveis via Bluetooth e desligando a descarga da bateria, fazendo com que o veículo pare.
Alguns relatórios também alegam que os brincalhões mais tarde se oferecem para “consertar” o veículo mediante o pagamento de uma taxa, após reiniciá-lo usando o mesmo aplicativo.
Algumas unidades BMS não possuem proteção por senha ou autenticação forte, permitindo que qualquer pessoa dentro do alcance do Bluetooth emparelhe com a bateria e desative sua descarga, imobilizando efetivamente o veículo.
Na sexta-feira, o ministro de TI, S Krishnan, falando à margem da CII Cybersecurity Summit, insistiu que as lojas de aplicativos deveriam exercer a devida diligência e disse que o governo iria questioná-las para garantir que aplicativos maliciosos não estivessem disponíveis.
A ação mais recente surge num momento em que a Índia se esforça para examinar minuciosamente as plataformas digitais e as tecnologias conectadas, no meio de preocupações crescentes sobre a segurança cibernética, a segurança dos dados e a resiliência das infraestruturas digitais críticas.