Nguy hiểm: Xe điện bị vô hiệu hóa từ xa do lỗ hổng IoT

Nguy hiểm: Xe điện bị vô hiệu hóa từ xa do lỗ hổng IoT

Chính phủ Ấn Độ đã yêu cầu Google và Apple gỡ bỏ ba ứng dụng di động là BAT-BMS, Lossigy và Epoch-i-ion. Các ứng dụng này bị cáo buộc đã bị lạm dụng để vô hiệu hóa từ xa xe điện ba bánh và các phương tiện chạy bằng pin khác giữa hành trình, gây rủi ro cho an toàn hành khách. Đây là một ví dụ điển hình về mối đe dọa mạng tiềm ẩn từ các thiết bị IoT.

Lạm dụng chức năng tắt máy từ xa trên xe điện

Các cơ quan chức năng cũng cảnh báo rằng bất kỳ ứng dụng bổ sung nào có chức năng tương tự sẽ phải đối mặt với hậu quả tương tự. Lệnh này được ban hành sau một loạt các video lan truyền cho thấy các đối tượng sử dụng các ứng dụng này để xác định vị trí các xe điện ba bánh gần đó thông qua hệ thống quản lý pin (BMS) kết nối và tắt chúng chỉ bằng một lần chạm, đôi khi khi phương tiện đang di chuyển và chở khách.

Cơ chế hoạt động ban đầu và lỗ hổng bảo mật

Ban đầu, các ứng dụng này được thiết kế như những công cụ quản lý pin hợp pháp, cho phép người điều hành đội xe, nhà tài chính hoặc chủ phương tiện theo dõi mức sạc, vị trí và vô hiệu hóa phương tiện từ xa trong các trường hợp chậm thanh toán khoản vay hoặc trộm cắp. Tuy nhiên, khả năng tắt máy từ xa đã bị các tác nhân không được ủy quyền, bao gồm các nhà tài chính đối thủ, cá nhân bất mãn hoặc thậm chí những kẻ chơi khăm, khai thác để vô hiệu hóa xe điện ba bánh của các nhà khai thác khác, bất kể quyền sở hữu hợp pháp hay sự đồng ý.

Không giống như các ứng dụng theo dõi phương tiện thông thường, BAT-BMS, Lossigy và Epoch-i-ion được cho là duy trì kết nối API hoặc Bluetooth/di động luôn bật giữa bộ điều khiển pin của xe điện ba bánh và backend của ứng dụng. Điều này có nghĩa là bất kỳ người dùng nào có thông tin đăng nhập truy cập, đôi khi được bảo vệ yếu hoặc chia sẻ qua mạng lưới đại lý, đều có thể gửi lệnh tắt máy từ xa.

Thiết kế tiềm ẩn nguy cơ bảo mật

Lỗ hổng thiết kế này đã biến một tính năng tiện lợi của quản lý đội xe thành một mối nguy hiểm về an toàn. Nó thiếu các biện pháp kiểm soát xác thực đầy đủ, xác minh sự đồng ý của người lái hoặc các hạn chế về địa lý để ngăn chặn sự can thiệp của bên thứ ba. Điều này tạo ra một bề mặt tấn công đáng kể, có thể dẫn đến hệ thống bị xâm nhập.

Phân tích rủi ro từ các thiết bị IoT

Các nhà nghiên cứu bảo mật từ lâu đã cảnh báo rằng các công tắc tắt máy được kích hoạt bằng IoT trong các loại xe điện giá rẻ đặc biệt dễ bị tổn thương. Các nhà sản xuất thường ưu tiên chi phí và chức năng hơn là kiểm soát truy cập mạnh mẽ, khiến việc rò rỉ thông tin xác thực hoặc lạm dụng nội bộ trở thành một vectơ tấn công dễ dàng. Theo dõi các lỗ hổng IoT là một phần quan trọng của chiến lược an ninh mạng toàn diện.

Một ví dụ điển hình về việc khai thác lỗ hổng IoT là việc các tin tặc có thể triển khai các giải pháp như ShadowSocks để thực hiện các cuộc tấn công tinh vi. Tìm hiểu thêm về việc các hacker khai thác lỗ hổng IoT để triển khai ShadowV2 tại đây.

Khung pháp lý và biện pháp can thiệp tại Ấn Độ

Mặc dù các chi tiết thực thi cụ thể cho trường hợp này còn hạn chế trong các tiết lộ công khai, Ấn Độ có tiền lệ vững chắc cho các biện pháp can thiệp như vậy. Bộ Điện tử và Công nghệ Thông tin đã từng viện dẫn Điều 69A của Đạo luật Công nghệ Thông tin để chặn các ứng dụng bị coi là gây tổn hại đến an toàn và trật tự công cộng, như trường hợp cấm 59 ứng dụng vào năm 2020 với lý do lo ngại về an ninh.

Khung pháp lý tương tự, kết hợp với các chỉ thị ban hành cho các cửa hàng ứng dụng, dường như là cơ sở cho hành động hiện tại chống lại BAT-BMS, Lossigy và Epoch-i-ion. Điều này tuân theo một mô hình tương tự, trong đó các đơn vị an ninh mạng cấp tiểu bang hoặc trung ương chính thức thông báo cho Google và Apple để gỡ bỏ các ứng dụng không tuân thủ hoặc không an toàn khỏi nền tảng của họ. Gần đây, Cơ quan An ninh mạng Maharashtra đã ra lệnh gỡ bỏ các ứng dụng xe buýt-taxi trái phép do vi phạm an toàn hành khách.

Tác động và khuyến nghị cho ngành

Sự cố này nhấn mạnh mối quan ngại ngày càng tăng xung quanh các tính năng vô hiệu hóa từ xa được kích hoạt bằng IoT, vốn được tích hợp trong các loại xe điện giá cả phải chăng trên thị trường xe điện ba bánh và di chuyển chặng cuối đang bùng nổ của Ấn Độ. Khi các nhà cung cấp BMS chạy đua để bổ sung các tính năng khóa và chống trộm từ xa nhằm cạnh tranh trong một thị trường nhạy cảm về giá, việc xác thực yếu và phân tách truy cập kém có thể biến các tính năng an toàn thành các bề mặt tấn công.

Các tổ chức nên đánh giá kỹ lưỡng các biện pháp kiểm soát truy cập và xác thực cho các thiết bị IoT được kết nối. Việc triển khai các giải pháp bảo mật mạnh mẽ, bao gồm mã hóa, xác thực đa yếu tố và giám sát liên tục, là rất quan trọng để ngăn chặn các cuộc tấn công mạng và đảm bảo an toàn cho người dùng.

Tăng cường Trung tâm Điều hành An ninh (SOC) của bạn bằng cách đẩy nhanh quá trình phát hiện mối đe dọa và điều tra nhanh chóng. Tích hợp ANY.RUN với SOC của bạn ngay bây giờ.