报告称,移动应用程序缺陷是工业IT系统的风险
安全研究人员已经确定了147个网络安全漏洞,其中34个随机选择的移动应用程序,用于定向控制和数据采集(SCADA)系统。
SCADA软件通常用于发电厂以及石油和天然气炼油,电信,运输和水和废物控制。
根据报告,如果被剥削所识别的移动应用程序漏洞,攻击者可能会扰乱工业流程或妥协工业网络基础设施。
关于互联网(IOT)时代的SCADA和移动安全报告(IOT)ERA是基于安全服务公司的研究,公司Ioactive和零日攻击的安全启动embedi。
根据报告的作者,亚历山大Bolshev,Ioactive,Ivan Yushkevich,信息安全审计员的信息安全审计员的安全顾问,促进漏洞可能导致SCADA运营商无意地对系统进行有害行动。
研究的发布恰逢国际事务智库查塔姆房屋的报告,该公司警告说,核武器控制系统的网络攻击的风险是“比较高”,最近的网络攻击情况表明核通过使用恶意软件,武器系统也可能受到干扰,黑客和破坏。
Aoactive的首席安全顾问Jason Larsen表示,该研究强化了移动应用程序越来越多地利用漏洞,这些脆弱性可能对运营工业控制系统(ICS)的SCADA系统可能具有可怕后果。
“开发人员的关键外卖是安全必须从一开始就被烘焙,”他说。“它节省了时间,金钱,最终有助于保护品牌。”
该报告更新了2015年由Bolshev和Yushkevich进行的原始研究,其中包括分析的20个移动应用中共有50个问题。只需两年后,他们发现每个应用程序的平均增加1.6漏洞。
该研究专注于测试软件和硬件,使用后端模糊和逆向工程来揭示一系列安全漏洞。
该研究揭示的五大安全弱点是:代码篡改(94%的应用),不安全授权(59%),逆向工程(53%),不安全的数据存储(47%)和不安全的通信(38%)。
“我们发现的缺陷是令人震惊的,并且证明是在没有任何想法的情况下开发和使用移动应用程序,”Bolshev说。“重要的是要注意,攻击者不需要对智能手机进行物理访问来利用漏洞,并且它们也不需要直接针对工业控制应用。
“如果智能手机用户在设备上下载任何类型的恶意应用程序,那么该应用程序可以攻击用于工业控制系统软件和硬件的易受攻击的应用程序。这导致的是使用移动应用攻击其他应用的攻击者。“
Yushkevich表示,开发人员需要记住,应用是关键任务工业控制系统的网关。“应用程序开发人员必须采用安全的编码最佳实践来保护他们的应用程序和系统免受危险和昂贵的攻击,”他说。
Ioactive和Embedi通过负责任的披露向受影响的结果通报了调查结果,并与许多人协调,以确保修复到位。