Em uma manhã em Delhi, o motorista de um rickshaw elétrico descobriu que seu veículo parou subitamente no meio de uma rua movimentada. Não havia sinais de aviso, fumaça ou indícios de falha mecânica — o carro simplesmente parou de se mover.
Acreditando ser uma falha técnica, ele levou-o a um mecânico local. No entanto, os eventos subsequentes o surpreenderam: o mecânico abriu um aplicativo móvel, pressionou alguns botões e, em poucos minutos, o rickshaw voltou a funcionar.
Escopo do Problema
Mas o alívio foi breve. Segundo o motorista, cuja informação foi transmitida à agência de notícias IANS, uma situação semelhante se repetiu quando ele estava transportando passageiros. Cada vez, o veículo parava sem aviso, resultando em perda de renda e necessidade de pagar pelo reinício.
O que inicialmente parecia um erro isolado transformou-se em um problema nacional de segurança cibernética, afetando a mobilidade elétrica, a segurança pública e as lacunas na proteção digital do transporte diário.
Reação das Autoridades e Especialistas
Vídeos virais nas redes sociais mostram pessoas usando aplicativos para desligar remotamente rickshaws em movimento. Após o surgimento dessas notícias, o Ministério da Eletrônica e Tecnologia da Informação (MeitY) instruiu Google e Apple a removerem vários aplicativos de gerenciamento de bateria, incluindo BAT-BMS, Lossigy e Epoch i-ion, enquanto investigavam seus riscos de segurança cibernética.
À primeira vista, o problema parece ser uma falha em um aplicativo específico. No entanto, especialistas afirmam que a raiz do problema é mais profunda — reside nos sistemas de bateria desprotegidos instalados em milhares de veículos elétricos baratos.
Como Ocorre o Hackeamento
O conflito se intensificou após a aparição de vídeos mostrando pessoas escaneando rickshaws próximos e desligando suas baterias em movimento usando aplicativos baseados em Bluetooth. Os motoristas frequentemente ficavam abandonados, sem entender o motivo da parada. Muitos erroneamente consideravam isso uma pane e pagavam mecânicos para reparo, apenas descobrindo mais tarde que a bateria havia sido desligada remotamente.
Após esses incidentes, o MeitY ordenou a remoção dos aplicativos e iniciou uma investigação sobre as consequências para a segurança cibernética. O Departamento de Transportes de Delhi também começou uma verificação, e a polícia em cidades como Uddhain registrou casos de indivíduos supostamente desligando veículos e exigindo dinheiro para ligá-los.
Essência da Vulnerabilidade do Sistema
Especialistas em segurança cibernética alertam contra focar apenas no aplicativo. O aplicativo BAT-BMS foi originalmente desenvolvido pela Shenzhen Grenergy Technology para monitorar baterias de íon-lítio. Ele permite que os usuários rastreiem tensão, temperatura, corrente, ciclos de carga e estado da bateria, além de incluir funções de manutenção, como ligar ou desligar a descarga da bateria.
O problema surge quando esse controle se torna acessível a usuários não autorizados. O hacker ético certificado Abdultaiyeb Chechatwala declarou ao TOI que o problema reside na própria arquitetura do sistema, e não no aplicativo. Ele observou: «O problema não é o nome do aplicativo. É a lógica de como o Sistema de Gerenciamento de Bateria aceita comandos».
Na opinião de Chechatwala, muitos fabricantes de baterias baratas usam software genérico de fornecedores terceirizados que não possui criptografia e autenticação confiáveis. Se o BMS aceita comandos de qualquer dispositivo próximo sem verificar a identidade, praticamente qualquer aplicativo compatível pode interagir com ele. Ele enfatizou que os fabricantes deveriam ter implementado criptografia, troca segura de chaves e autenticação adequada para que apenas usuários autorizados tivessem acesso ao gerenciamento da bateria.
Funções do Sistema de Gerenciamento de Bateria
Cada bloco de bateria de íon-lítio contém um controlador eletrônico conhecido como Sistema de Gerenciamento de Bateria (BMS). Embora permaneça oculto para os usuários, ele desempenha uma das funções mais importantes em um veículo elétrico. O BMS monitora constantemente tensão, temperatura, velocidade de carregamento, balanceamento de células e estado geral da bateria. Em caso de condições inseguras, o sistema pode desligar a bateria para prevenir superaquecimento, sobrecarga ou danos irreversíveis.
Muitos fabricantes também ativam a conexão Bluetooth, permitindo que técnicos ou proprietários do veículo monitorem o funcionamento da bateria através de um smartphone em vez de usar equipamentos especializados. No entanto, essa conveniência cria um novo desafio na área de segurança cibernética. Se a conexão sem fio não for protegida adequadamente por senha, criptografia ou autenticação segura, praticamente qualquer pessoa por perto pode se conectar à bateria.
Mecanismo de Desligamento Remoto
É importante notar que, contrariamente às alegações virais, ninguém está «hackeando» um rickshaw a quilômetros de distância. Os ataques relatados são baseados em Bluetooth, o que exige que a pessoa que tenta acessar a bateria esteja fisicamente próxima ao veículo — geralmente dentro de 10 a 20 metros. O processo é relativamente simples em sistemas desprotegidos.
Quando um rickshaw com bateria vulnerável, que suporta Bluetooth, está na área de alcance, o aplicativo escaneia a presença de sistemas BMS próximos. Se a bateria não exigir autenticação ou continuar a usar credenciais padrão de fábrica, o aplicativo pode estabelecer uma conexão. Após a conexão, o usuário obtém acesso aos recursos de manutenção embutidos no próprio BMS. Uma dessas funções é o gerenciamento da descarga da bateria, ou seja, a decisão de se a bateria deve fornecer energia ao veículo.
Consequências do Desligamento de Energia
O problema ocorre quando essa função fica disponível para qualquer pessoa por perto. Aplicativos como BAT-BMS, Lossigy e Epoch i-ion puderam se conectar a alguns sistemas de bateria desprotegidos, pois muitos fabricantes de baterias baratas deixavam as conexões Bluetooth sem senhas ou dependiam de credenciais de fábrica facilmente acessíveis. Assim que a conexão é estabelecida, o usuário pode simplesmente desligar a descarga da bateria. No momento em que a alimentação da bateria para o motor é interrompida, o veículo para imediatamente. Como a bateria é desligada pelo BMS e não pela ignição, o reinício do carro não é possível até que alguém restaure a conexão com a bateria e reative a função de descarga.
Riscos para a Vida e Negócios
Para motoristas não familiarizados com tecnologia, o veículo parece ter sofrido uma falha mecânica misteriosa. Essa confusão, segundo relatos, permitiu que algumas pessoas explorassem motoristas presos, exigindo dinheiro apenas para restaurar a conexão com a bateria através do mesmo aplicativo.
Embora nem todos os veículos elétricos sejam vulneráveis, esta situação destaca os riscos associados a dispositivos conectados baratos, onde a acessibilidade tem prioridade sobre a segurança digital. Para muitas pessoas, o que parecia uma piada na internet teve consequências reais. Motoristas de rickshaw frequentemente dependem desse transporte como principal fonte de renda. Um motorista informou à IANS que, depois que seu carro foi parado, ele descobriu que a bateria havia sido desligada digitalmente e pagou cerca de 300 rúpias para restaurá-la. Outro caso, documentado pelo influenciador Aaman Siddiqui, mostrou como um motorista perdeu renda por um dia inteiro enquanto seu veículo permanecia inoperante por horas.
O Futuro dos Veículos Elétricos
Surgiu a questão: se um rickshaw pode ser desligado remotamente, os hackers podem eventualmente mirar em carros elétricos? Especialistas acreditam que a resposta agora é diferente. A maioria dos carros elétricos de passageiros utiliza sistemas de gerenciamento de bateria significativamente mais complexos com múltiplos níveis de segurança cibernética. A comunicação entre os sistemas de bateria e a eletrônica do veículo geralmente é criptografada, autenticada e integrada em redes veiculares seguras. Aplicativos Bluetooth genéricos não podem simplesmente se conectar a esses sistemas.
No entanto, pesquisadores de segurança cibernética alertam contra a complacência. Chechatwala observa que os dispositivos conectados modernos dependem cada vez mais de tecnologias de comunicação sem fio, incluindo Bluetooth, Wi-Fi e sistemas de radiofrequência. Onde a segurança é mal projetada, os invasores podem tentar usar ataques de repetição, retransmissão ou manipulação de protocolos com equipamento especializado. Ele conclui: «A lição é que cada dispositivo conectado — seja a bateria de um rickshaw, um drone, um aparelho inteligente ou um carro conectado — deve ser projetado com segurança desde o início. À medida que mais dispositivos físicos se tornam digitais, a superfície de ataque também se expande».

