ई-रिक्शा हैक की जो घटनाएं शुरुआत में वायरल प्रैंक वीडियो तक सीमित लग रही थीं वे अब भारत के तेजी से बढ़ते इलेक्ट्रिक मोबिलिटी सेक्टर के लिए एक गंभीर साइबर सुरक्षा चेतावनी बन गई हैं. केवल एक स्मार्टफोन और आसानी से उपलब्ध ब्लूटूथ ऐप की मदद से चलते हुए ई-रिक्शा को दूर से बंद करने की क्षमता ने साइबर सुरक्षा में एक बड़ी खामी उजागर कर दी है.
विशेषज्ञों का कहना है कि इसका असर केवल तीन पहिया वाहनों तक सीमित नहीं रह सकता. इस घटना के बाद केंद्र सरकार ने एपल और गूगल से कम से कम सात ऐसे मोबाइल ऐप हटाने को कहा है, जिनका इस्तेमाल ई-रिक्शा को दूर से बंद करने के लिए किया जा रहा है.
यह विवाद BAT-BMS नाम के एक ब्लूटूथ बैटरी मैनेजमेंट ऐप से जुड़ा है. शोधकर्ताओं के मुताबिक, इस ऐप के जरिए लगभग 10 से 15 मीटर की दूरी से बिना किसी ऑथेंटिकेशन या विशेष हैकिंग स्किल के भी किसी ई-रिक्शा की बिजली सप्लाई काटी जा सकती है. इस घटना के बाद मध्य प्रदेश में पुलिस ने कार्रवाई की है और केंद्रीय इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने भी इसका संज्ञान लिया है.
इससे कनेक्टेड वाहनों की साइबर सुरक्षा को लेकर चिंता बढ़ गई है. साइबर सुरक्षा विशेषज्ञों का कहना है कि यह सिर्फ किसी एक सॉफ्टवेयर की खराबी का मामला नहीं है बल्कि इससे कहीं बड़ी समस्या का संकेत है. उनके मुताबिक, वाहनों के महत्वपूर्ण सिस्टम ऐसे वायरलेस मेंटेनेंस इंटरफेस के साथ बनाए जा रहे हैं, जिनमें बुनियादी ऑथेंटिकेशन तक नहीं है.
एक एक्सपर्ट का कहना है, "ई-रिक्शा की यह घटना सिर्फ किसी एक ऐप का मामला नहीं है, बल्कि यह दिखाती है कि देश के कनेक्टेड मोबिलिटी में सुरक्षा के बजाय सुविधा को ज्यादा प्राथमिकता दी गई है." रिसर्चर्स का यह भी कहना है कि इसी तरह की डिजाइन यानी कमजोर सुरक्षा वाले ब्लूटूथ, टेलीमेट्री या डायग्नोस्टिक इंटरफेस के जरिए वायरलेस मेंटेनेंस एक्सेस कई अन्य कनेक्टेड प्लेटफॉर्म में भी मौजूद हैं. इनमें आम इस्तेमाल वाले ड्रोन, ऑटोनॉमस सिस्टम और स्मार्ट मोबिलिटी जैसे EV, डिजिटल टिकटिंग और रियल-टाइम ट्रैकिंग जैसी सुविधाएं शामिल हैं.
बाजार में उपलब्ध कई ड्रोन, खासकर कम कीमत वाले और प्रोस्यूमर प्लेटफॉर्म, ऑटोपायलट सिस्टम, फ्लाइट कंट्रोलर और सहयोगी ऐप पर निर्भर करते हैं जो जटिल वैश्विक सप्लाई चेन से आते हैं. प्रोस्यूमर प्लेटफॉर्म ऐसे डिजिटल या विकेंद्रीकृत इंफ्रास्ट्रक्चर (Decentralized Infrastructure) हैं जो यूजर्स को निर्माता और उपभोक्ता दोनों की भूमिका निभाने में सक्षम बनाते हैं.
विशेषज्ञों का कहना है कि अगर इनमें भी इसी तरह की ऑथेंटिकेशन संबंधी कमजोरियां हैं तो हमलावरों को इनके संचालन में हस्तक्षेप करने के लिए किसी अत्याधुनिक साइबर क्षमता की जरूरत नहीं होगी. हैकिंग की इन घटनाओं ने दिखा दिया है कि कैसे थोड़ी दूरी से भी एक सामान्य मेंटेनेंस ऐप के जरिए किसी चलते वाहन को बंद किया जा सकता है.
विशेषज्ञों का कहना है कि ड्रोन सिस्टम में इसी तरह की कमजोरियां होने पर जबरन सिस्टम बंद करना, टेलीमेट्री पर कब्जा करना, GPS स्पूफिंग करना या जियोफेंसिंग फीचर से छेड़छाड़ करना संभव हो सकता है. दरअसल, GPS स्पूफिंग एक तरह का साइबर हमला है, जिसमें नेविगेशन सिस्टम को धोखा देने के लिए कृत्रिम (नकली) और ज्यादा ताकतवर GPS सिग्नल भेजे जाते हैं. वहीं, टेलीमेट्री कैप्चर करने का मतलब डिजिटल सिस्टम, सॉफ्टवेयर या हार्डवेयर से रीयल-टाइम डेटा (जैसे लॉग, मैट्रिक्स और ट्रेसेस) को इकट्ठा करना है.
साइबर सुरक्षा शोधकर्ता लंबे समय से इन जोखिमों की चर्चा करते रहे हैं. क्लाउड से जुड़े फीचर्स के बढ़ते इस्तेमाल ने भी साइबर हमलों की संभावनाएं बढ़ा दी हैं. ओवर-द-एयर फर्मवेयर अपडेट, रिमोट डायग्नोस्टिक्स, फ्लीट मैनेजमेंट टूल और रियल-टाइम टेलीमेट्री से कामकाज आसान होता है लेकिन अगर मजबूत ऑथेंटिकेशन सिस्टम न हो तो यही नए खतरे का रास्ता भी बन सकते हैं.
विशेषज्ञ एक और चिंता की ओर भी इशारा कर रहे हैं, वह है सप्लाई चेन में पारदर्शिता की कमी. अधिकारी अब यह जानने की कोशिश कर रहे हैं कि BAT-BMS ऐप किसने बनाया, इसके सर्वर कहां हैं और ऑपरेशनल डेटा का इस्तेमाल कैसे किया जाता है. ऐसे ही सवाल कई ड्रोन ऑपरेटरों और कनेक्टेड मोबिलिटी प्लेटफॉर्म पर भी लागू होते हैं, जहां सॉफ्टवेयर के मूल सोर्स और टेलीमेट्री डेटा कहां भेजा जाता है, यह अक्सर स्पष्ट नहीं होता.
भारत जब तेजी से इलेक्ट्रिक मोबिलिटी, स्मार्ट परिवहन और ऑटोनॉमस तकनीकों को बढ़ावा दे रहा है, तब इस घटना ने यह स्पष्ट कर दिया है कि साइबर सुरक्षा को बाद में जोड़ने के बजाय शुरुआत से ही उत्पादों के डिजाइन का हिस्सा बनाना जरूरी है.
साइबर सुरक्षा विशेषज्ञों का कहना है कि इन क्षेत्रों की निगरानी करने वाली और नियम बनाने वाली सरकारी संस्थाओं को भी अब सतर्क होने की जरूरत है. उनका मानना है कि इन वाहनों में अनिवार्य ऑथेंटिकेटिड ब्लूटूथ पेयरिंग, डिजिटल रूप से साइन किए गए फर्मवेयर, डिफॉल्ट क्रेडेंशियल्स को समाप्त करने तथा सॉफ्टवेयर सप्लाई चेन और डेटा शेयरिंग में अधिक पारदर्शिता जैसे उपायों पर विचार किया जाना चाहिए. फर्मवेयर एक विशेष प्रकार का सॉफ़्टवेयर है जो किसी इलेक्ट्रॉनिक उपकरणों के हार्डवेयर के साथ आता है.
इन घटनाओं ने यह भी दिखाया है कि भारत का तेजी से बढ़ता ई-रिक्शा उद्योग चीनी बैटरी पैक, बैटरी मैनेजमेंट सिस्टम (BMS), इलेक्ट्रॉनिक कंट्रोल यूनिट और एम्बेडेड सॉफ्टवेयर पर कितना निर्भर है. नीति निर्माता अब तक तैयार वाहनों के आयात को कम करने पर ध्यान देते रहे हैं लेकिन साइबर सुरक्षा विशेषज्ञों का कहना है कि आयातित बैटरी सिस्टम में मौजूद इलेक्ट्रॉनिक्स और फर्मवेयर की पर्याप्त जांच नहीं की गई है.
मैकेनिकल पुर्जों के उलट इन सिस्टम में वायरलेस कम्युनिकेशन मॉड्यूल, फर्मवेयर और डायग्नोस्टिक इंटरफेस होते हैं जो वाहन के महत्वपूर्ण कार्यों को नियंत्रित कर सकते हैं. सॉफ्टवेयर किसने बनाया, फर्मवेयर का रखरखाव कहां होता है, डेटा कैसे भेजा जाता है और उसमें पर्याप्त ऑथेंटिकेशन है या नहीं, ये बातें अक्सर फ्लीट ऑपरेटरों और यहां तक कि आयातकों को भी पता नहीं होतीं.
इस तरह BAT-BMS की घटना जो शुरुआत में केवल ब्लूटूथ की एक कमजोरी लग रही थी, अब भरोसेमंद इलेक्ट्रॉनिक्स, सॉफ्टवेयर सप्लाई चेन और आयातित ईवी कंपोनेंट्स के लिए साइबर सुरक्षा मानकों पर बड़ी बहस का विषय बन गई है. जो घटना शुरुआत में सोशल मीडिया का एक मजाक लग रही थी, वह अब इस बात का बड़ा उदाहरण बन गई है कि असुरक्षित वायरलेस कंट्रोल इंटरफेस किस तरह रिमोट किल स्विच में बदल सकता है.
साथ ही यह भी चेतावनी है कि अगर साइबर सुरक्षा मानकों में जल्द सुधार नहीं किया गया तो आज ई-रिक्शा में सामने आई कमजोरियां कल भारत के पूरे कनेक्टेड परिवहन तंत्र के लिए बड़ा खतरा बन सकती हैं.

