Hack Alerta

Governo indiano proíbe aplicativos que desligam e-rickshaws remotamente

Governo indiano proíbe aplicativos que desligam e-rickshaws remotamente, destacando riscos de segurança em IoT e falhas de autenticação.

O governo da Índia ordenou que o Google e a Apple retirassem três aplicativos móveis, BAT-BMS, Lossigy e Epoch-i-ion, após descobrirem que eles estavam sendo usados para desligar remotamente e-rickshaws e outros veículos elétricos de três rodas durante o trajeto, colocando a segurança dos passageiros em risco. A ordem segue uma onda de vídeos virais mostrando indivíduos usando esses aplicativos para localizar e-rickshaws próximos através de sistemas de gerenciamento de bateria (BMS) conectados e desligá-los com um único toque, às vezes enquanto os veículos estavam em movimento transportando passageiros.

Descoberta e escopo da vulnerabilidade

Esses aplicativos foram originalmente projetados como ferramentas legítimas de Sistema de Gerenciamento de Bateria (BMS), permitindo que operadores de frotas, financiadores ou proprietários de veículos monitorassem os níveis de carga, rastreassem a localização e imobilizassem remotamente os veículos em casos de inadimplência de empréstimo ou roubo. No entanto, a funcionalidade de desligamento remoto foi explorada por atores não autorizados, incluindo financiadores rivais, indivíduos descontentes ou até mesmo brincalhões, para desligar e-rickshaws pertencentes a outros operadores, independentemente da propriedade legítima ou consentimento.

Diferente de um aplicativo de rastreamento de veículos padrão, aplicativos como BAT-BMS, Lossigy e Epoch-i-ion mantinham uma API sempre ativa ou uma conexão Bluetooth/celular entre o controlador de bateria do e-rickshaw e o backend do aplicativo. Isso significava que qualquer usuário com credenciais de acesso, às vezes protegidas de forma fraca ou compartilhadas entre redes de revendedores, poderia enviar um comando de desligamento remotamente.

Impacto e alcance

Essa falha de design transformou efetivamente um recurso de conveniência de gerenciamento de frota em um perigo de segurança, pois faltavam controles de autenticação adequados, verificação de consentimento do motorista ou restrições de geofencing para prevenir interferência de terceiros. A segurança dos passageiros foi comprometida, pois o desligamento repentino de um veículo em movimento pode causar acidentes graves.

Este incidente destaca uma preocupação crescente em torno de recursos de desligamento remoto habilitados para IoT embutidos em veículos elétricos acessíveis em todo o setor de mobilidade de última milha em crescimento da Índia. À medida que os fornecedores de BMS competem para adicionar recursos de bloqueio remoto e anti-roubo em um mercado sensível a preços, a autenticação fraca e a segregação de acesso inadequada podem transformar recursos de segurança em superfícies de ataque.

Análise técnica detalhada

Os pesquisadores de segurança alertam há muito tempo que interruptores de desligamento habilitados para IoT em veículos elétricos de baixo custo são particularmente vulneráveis porque os fabricantes muitas vezes priorizam o custo e a funcionalidade em detrimento do controle de acesso robusto, deixando o vazamento de credenciais ou o uso indevido interno como um vetor de ataque fácil.

A arquitetura desses aplicativos permitia que comandos de desligamento fossem enviados sem verificação de contexto, como a velocidade do veículo ou a localização geográfica. Isso significa que um comando enviado de qualquer lugar do mundo poderia desligar um veículo em movimento, desde que as credenciais estivessem comprometidas.

Medidas de mitigação recomendadas

  • Implementar autenticação multifator (MFA) para qualquer comando de aplicativo capaz de desligar remotamente um veículo em movimento.
  • Implementar geofencing e bloqueios baseados em velocidade para impedir comandos de desligamento enquanto um veículo está em trânsito.
  • Manter logs de auditoria de cada comando remoto emitido, vinculados à propriedade verificada do dispositivo.
  • Realizar auditorias de segurança de terceiros das APIs backend do BMS antes do lançamento público.

Implicações regulatórias e de segurança

Embora os detalhes específicos de aplicação deste caso permaneçam limitados nas divulgações públicas, a Índia tem um precedente bem estabelecido para tais intervenções: o Ministério da Eletrônica e Tecnologia da Informação já invocou a Seção 69A da Lei de Tecnologia da Informação para bloquear aplicativos considerados prejudiciais à segurança pública e à ordem, como visto na proibição de 2020 de 59 aplicativos citando preocupações de segurança.

Este mesmo arcabouço legal, combinado com diretrizes emitidas para as lojas de aplicativos, parece fundamentar a ação atual contra BAT-BMS, Lossigy e Epoch-i-ion, seguindo um padrão semelhante em que unidades cibernéticas estaduais ou centrais notificam formalmente o Google e a Apple para remover aplicativos não conformes ou inseguros de suas plataformas.

O que os CISOs devem fazer imediatamente

Para os profissionais de segurança que gerenciam frotas de veículos IoT, é crucial revisar os controles de acesso aos sistemas de gerenciamento de frota. A implementação de autenticação forte e a verificação de contexto para comandos críticos são essenciais para prevenir o uso indevido de funcionalidades de segurança.

Além disso, as organizações devem realizar avaliações de risco de segurança para identificar vulnerabilidades em seus sistemas IoT e garantir que os fornecedores de tecnologia sigam as melhores práticas de segurança no desenvolvimento de produtos.

Perguntas frequentes

Por que os aplicativos foram banidos? Porque foram usados para desligar veículos em movimento, colocando vidas em risco.

Qual a falha de segurança? Autenticação fraca e falta de verificação de contexto para comandos de desligamento remoto.

Como evitar isso? Implementar MFA, geofencing e auditorias de segurança de terceiros.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.