说出来你可能不信,一个本该防贼的系统,却让任何人都能当街“掐灭”一辆载客电三轮。
印度政府已正式要求谷歌和苹果下架三款应用——BAT-BMS、Lossigy 和 Epoch-i-ion。这三款工具原本是给车队运营商和车主用的电池管理系统,能远程看电量、查位置,甚至在贷款违约或车辆被盗时遥控锁车。问题在于,这套遥控熄火功能,现在被完全不相关的人玩坏了。
核心麻烦来自一个设计上的“省事”决定。这些应用与电三轮电池控制器之间,通过蓝牙或蜂窝网络保持着一条始终在线的连接通道。任何人只要拿到登录凭证,就能从后台发出熄火指令。而现实是,不少经销商网络里的账号密码管理松散,甚至存在多人共享的情况。
后果来得很快。社交媒体上一批病毒传播的视频显示,有人当街打开手机,点一下屏幕,附近正在行驶的电三轮就直接趴窝。有时车上还坐着乘客。原本服务于车队管理和资产回收的“远程终止”能力,在缺乏驾驶员确认、地理围栏和强身份验证的情况下,活生生变成了一个谁都能触发的公共安全隐患。
官方此次出手速度极快。印度电子与信息技术部援引《信息技术法》第69A条——即危害公共安全与秩序的应用程序可被依法封锁的条款——向两大应用商店发出下架指令。这是一种有先例可循的执法模式:2020年印度曾以此法律工具一口气封禁了59款应用,早些时候马哈拉施特拉邦网络部门也动用同类权力,清除了违规运营的网约摩托车应用。本次禁令同时警告,任何带有类似远程终止功能的应用,只要继续留在市场上,将面临同样的下架处理。
让安全研究者们头疼的问题,其实早已是低端电动车辆物联网组件里的老毛病。为了控制成本,许多制造商会把功能实现放在首位,身份认证、访问权限控制、指令验证这些安全机制只能往后靠。这种取舍之下,凭证泄漏或内部人员操作不当就能轻易触发连锁反应。当融资便利性与道路参与者的人身安全之间缺少一道有效的隔离墙时,一个开发初衷毫无恶意的效率工具,也足以翻转为危险的源头。
热门跟贴