Índia proíbe aplicativos chineses BAT-BMS, Lossigy, Epoch-i-ion para desativação remota de EV
A Índia deu um passo significativo para reforçar a segurança cibernética no seu sector de veículos eléctricos, ordenando a remoção de três aplicações móveis chinesas, BAT-BMS, Lossigy e Epoch-i-ion, das lojas de aplicações, depois de se ter descoberto que foram utilizadas indevidamente para desativar remotamente veículos movidos a bateria.
IMAGEM: Uma foto de arquivo do primeiro-ministro Narendra Modi passeando em um e-riquixá. Foto: Cortesia: Assessoria de Imprensa
Pontos-chave
- O governo indiano ordenou a remoção de três aplicativos chineses – BAT-BMS, Lossigy e Epoch-i-ion – das lojas de aplicativos devido ao seu suposto uso indevido na desativação remota de veículos movidos a bateria.
- A ação segue vídeos virais nas redes sociais que mostram riquixás elétricos sendo imobilizados por meio de um recurso de desligamento remoto vinculado ao aplicativo BAT-BMS.
- As preocupações decorrem da falta de autenticação em alguns sistemas de gerenciamento de bateria (BMS) habilitados para Bluetooth usados em e-riquixás de baixo custo, que permitem acesso remoto não autorizado.
- O BAT-BMS, desenvolvido pela chinesa Shenzhen Grenergy Technology Co. Ltd., é um aplicativo habilitado para Bluetooth para monitoramento e gerenciamento de baterias de lítio, não destinado ao controle de veículos.
- O governo está a trabalhar com operadores de mercados de aplicações para impedir a distribuição de aplicações que representem riscos de segurança cibernética e bloqueará quaisquer outras aplicações que permitam abusos semelhantes.
O governo ordenou a remoção de três aplicativos móveis chineses – BAT-BMS, Lossigy e Epoch-i-ion – das lojas de aplicativos depois de terem sido supostamente usados indevidamente para desativar remotamente veículos movidos a bateria na Índia, disseram fontes oficiais na sexta-feira, em meio a preocupações crescentes sobre vulnerabilidades de segurança cibernética em sistemas de mobilidade conectados à Internet.
Desativação externa de eventos
A ação segue o surgimento de vários vídeos nas redes sociais mostrando riquixás elétricos sendo inoperantes por meio de um recurso de desligamento externo vinculado ao aplicativo BAT-BMS.
Os vídeos suscitaram preocupações sobre a capacidade de aplicações de terceiros acederem e controlarem remotamente funções críticas dos veículos, e levantaram questões sobre as salvaguardas de segurança cibernética incorporadas nos sistemas de gestão de baterias utilizados em veículos eléctricos.
Fontes governamentais disseram que os três aplicativos foram usados indevidamente para desativar remotamente veículos movidos a bateria e foram removidos das lojas de aplicativos.
Acrescentaram que as autoridades também bloqueariam qualquer outro aplicativo que facilitasse abusos semelhantes.
O governo também está trabalhando com operadores de mercados de aplicativos para impedir a distribuição de aplicativos que possam representar riscos à segurança cibernética, disseram as fontes.
Sobre os aplicativos
BAT-BMS é um aplicativo de gerenciamento de bateria habilitado para Bluetooth desenvolvido pela Shenzhen Grenergy Technology da China para monitorar e gerenciar baterias de lítio compatíveis.
O aplicativo permite que os usuários visualizem os parâmetros da bateria, como nível de carga, tensão, corrente e temperatura, e controlem as funções de carga e descarga de baterias compatíveis.
As preocupações giram em torno da falta de autenticação em alguns sistemas de gerenciamento de bateria habilitados para Bluetooth usados em e-riquixás de baixo custo, que supostamente permitiam que usuários não autorizados dentro do alcance do Bluetooth desabilitassem veículos remotamente.
O BAT-BMS funciona dentro de um alcance Bluetooth de aproximadamente 15 metros e pode ser conectado a várias baterias ao mesmo tempo.
O aplicativo em si é comercializado como uma ferramenta de monitoramento e gerenciamento de bateria, e não como um programa de controle de veículo.
Lossigy e Epoch-i-ion (Epoch Li-ion) são aplicações BMS semelhantes usadas com baterias de lítio habilitadas para Bluetooth de outros fabricantes.
Exploração de vulnerabilidade
Os vídeos virais mostraram indivíduos se aproximando de e-riquixás, emparelhando-os com baterias compatíveis via Bluetooth e cortando a descarga da bateria, deixando os veículos presos.
Alguns relatórios também alegaram que os brincalhões posteriormente se ofereceram para “consertar” os veículos mediante o pagamento de uma taxa, após reiniciá-los usando o mesmo aplicativo.
Algumas unidades BMS não possuíam proteção por senha ou autenticação robusta, permitindo que qualquer pessoa dentro do alcance do Bluetooth emparelhasse com a bateria e desativasse a função de descarga, imobilizando efetivamente o veículo.
Na sexta-feira, o secretário de TI, S Krishnan – falando à margem de uma cúpula de segurança cibernética da CII – afirmou que as lojas de aplicativos precisam fazer a devida diligência e disse que o governo abordará o assunto com elas para garantir que aplicativos potencialmente prejudiciais não sejam disponibilizados.
A ação mais recente surge num momento em que a Índia intensifica o escrutínio das plataformas digitais e das tecnologias conectadas, num contexto de preocupações crescentes sobre a segurança cibernética, a segurança dos dados e a resiliência das infraestruturas digitais críticas.