Специалисты компаний IOActive и Embedi проверили безопасность приложений для SCADA-систем (Supervisory Control And Data Acquisition — диспетчерское управление и сбор данных). Рассмотрев случайно отобранные решения 34 разных производителей, представленные в Google Play, эксперты пришли к выводу, что уязвимости содержат практически все изученные приложения. Причем, как оказалось, многие обнаруженные бреши могут напрямую влиять на безопасность производственных процессов и привести к компрометации всей инфраструктуры предприятия.
«Обнаруженные нами уязвимости шокируют и свидетельствуют о том, что данные мобильные приложения создавались и используются вообще без оглядки на безопасность, — пишут специалисты IOActive. — Если пользователь смартфона установит любое вредоносное приложение на свое устройство, оно сможет атаковать такие уязвимые приложения, которые используются для работы с софтверной и аппаратной частью автоматизированных систем управления технологическими процессами».
Суммарно специалистам удалось обнаружить в приложениях 147 различных уязвимостей. Предыдущее исследование этой области, проведенное в 2015 году, помогло выявить 50 проблем в 20 приложениях. То есть исследователи делают вывод, что ситуация в данном секторе становится только хуже, а среднее количество уязвимостей на одно приложение возросло до отметки 1,6.
Для тестов специалисты использовали различные техники, включая реверс-инжиниринг и фаззинг. В итоге пятерка самых распространенных проблем выглядит следующим образом:
- 94% приложений уязвимы перед code tampering;
- 59% приложений имеют проблемы с безопасностью авторизации;
- 53% приложений не имеют надежной обфускации и не устоят перед реверс инжинирингом;
- 47% приложений хранят данные небезопасными способами;
- 38% приложений плохо защищают свои коммуникации.
В своем отчете специалисты призвали разработчиков таких приложений помнить о том, что их продукты фактически являются «ключом» к критическим ICS-системам, а значит, безопасность должна стоять во главе угла.
Всех производителей уже уведомили об обнаруженных уязвимостях, и специалисты IOActive и Embedi помогли вендорам подготовить патчи.