Специалисты компаний IOActive и Embedi проверили безопасность приложений для SCADA-систем (Supervisory Control And Data Acquisition — диспетчерское управление и сбор данных). Рассмотрев случайно отобранные решения 34 разных производителей, представленные в Google Play, эксперты пришли к выводу, что уязвимости содержат практически все изученные приложения. Причем, как оказалось, многие обнаруженные бреши могут напрямую влиять на безопасность производственных процессов и привести к компрометации всей инфраструктуры предприятия.

«Обнаруженные нами уязвимости шокируют и свидетельствуют о том, что данные мобильные приложения создавались и используются вообще без оглядки на безопасность, — пишут специалисты IOActive. — Если пользователь смартфона установит любое вредоносное приложение на свое устройство, оно сможет атаковать такие уязвимые приложения, которые используются для работы с софтверной и аппаратной частью автоматизированных систем управления технологическими процессами».

Суммарно специалистам удалось обнаружить в приложениях 147 различных уязвимостей. Предыдущее исследование этой области, проведенное в 2015 году, помогло выявить 50 проблем в 20 приложениях. То есть исследователи делают вывод, что ситуация в данном секторе становится только хуже, а среднее количество уязвимостей на одно приложение возросло до отметки 1,6.

Для тестов специалисты использовали различные техники, включая реверс-инжиниринг и фаззинг. В итоге пятерка самых распространенных проблем выглядит следующим образом:

  • 94% приложений уязвимы перед code tampering;
  • 59% приложений имеют проблемы с безопасностью авторизации;
  • 53% приложений не имеют надежной обфускации и не устоят перед реверс инжинирингом;
  • 47% приложений хранят данные небезопасными способами;
  • 38% приложений плохо защищают свои коммуникации.

В своем отчете специалисты призвали разработчиков таких приложений помнить о том, что их продукты фактически являются «ключом» к критическим ICS-системам, а значит, безопасность должна стоять во главе угла.

Всех производителей уже уведомили об обнаруженных уязвимостях, и специалисты IOActive и Embedi помогли вендорам подготовить патчи.

3 комментария

  1. Themistocles

    13.01.2018 at 17:14

    ничего удивительного. программеры пишут побыстрее, потому что сроки горят, а поскольку это очень специфичное по его и проверять некому, это вам не вазап или телеграмм или винда. вот и кишат всякой херней

  2. Kadist

    14.01.2018 at 19:26

    винда, ватсап, вайбер проверяет куча тестеров и всё равно там находят кучу уязвимостей. «где логика, а логики нет…»

  3. john_

    15.01.2018 at 06:28

    Как говорится, несуществен такой последовательности действий, которые пользователь не смог бы воспроизвести случайно.

Оставить мнение