IOActive 和 Embedi 的研究人员对来自34个供应商的 SCADA 移动应用程序进行了分析,发现其中绝大多数存在可以被用来干扰工业过程的漏洞。
“
全文 1196 字
预计阅读时间 4 min
”
2016年,研究人员Alexander Bolshev和Ivan Yushkevich分析了20个被设计用于工业控制系统(ICS)硬件和软件的移动应用程序。当时他们发现了约50 个安全问题——每个移动应用程序中至少存在一个问题。
目前就职于IOActive的Bolshev和Embedi的员工Yushkevich决定再次分析用于监控和数据采集(SCADA)系统的移动应用程序,以确定在工业物联网愈发普及的今天,安全形势有哪些变化。
这一次,专家随机选择了在Google Play商店中提供的来自34家供应商的SCADA应用程序的——大多数情况下,这些应用程序与2015年的测试应用程序不同。该分析的重点在客户端应用程序和后端系统,并针对本地和远程应用程序进行了测试。
本地应用程序通常安装在工程师使用的平板电脑上,并通过蓝牙,Wi-Fi 或串行连接直接连接到工业设备。由于这些程序可用于控制PLC,RTU和工业网关等设备,因此通常被限制仅在工厂内部使用,并且被认为是安全的。另一方面,工程师可以利用远程应用程序通过 Internet和专用蜂窝网络连接到 ICS 。尽管在大多数情况下,它们只是为了监控流程而被设计的,但是在某些应用中确实允许用户控制生产流程。
Bolshev和Yushkevich开始寻找2016年OWASP Mobile Top 10名单中描述的漏洞。这些漏洞会使得具有本地或远程访问权限的攻击者,以及处于中间人(MitM)位置的攻击者能够直接或间接影响工业流程,或诱使操作员执行破坏性操作。
两位研究员对独立开发商和主要供应商的应用程序均进行了测试,在客户端及其后端系统中总共发现了 147 个漏洞。
研究人员发现除了两个应用程序外,其他应用程序均未能实施对代码篡改的保护。具有这种机制的两个应用程序只实现了基本的 root 检测功能。恶意黑客更容易在已 root 过的Android设备上利用该漏洞,并且一些恶意软件系列被设计用来 root 智能手机和平板电脑。
超过一半的测试应用程序也缺乏安全授权机制——只有20%的本地应用程序正确应用了授权系统。最常见的问题是缺少密码保护以及存在“记住密码”功能,这违背了设置密码保护的初衷。
专家还发现,超过一半的应用程序缺乏代码混淆和其他防止逆向工程的机制。这样使得攻击者能够对应用程序进行逆向工程,从而更容易找到并利用漏洞。
近一半的测试应用程序也未能安全地存储数据。数据通常存储在 SD 卡或虚拟分区上,而不受访问控制列表(ACL)或其他权限机制的保护。
不出所料,超过1/3被分析的应用程序不能保证通信安全,具体形式包括很差的握手设计、错误的 SSL 版本和明文数据传输。研究人员指出,他们的测试不包括使用Modbus和其他ICS协议的应用程序,因为这些协议从设计之初就是不安全的。
至于后端问题,研究人员发现了各种类型的漏洞,包括SQL注入,内存破坏,DoS和信息泄露漏洞。
时间追溯回2015年,当时Bolshev和Yushkevich预测,由于手机软件的迅速发展和物联网的发展,他们当时发现的问题将在未来消失。然而,他们的预测出现了偏差。最新的测试显示,超过20%的被发现的问题使得恶意入侵者误导操作人员并影响工业流程。
木链
Bolean | 木链科技
领取专属 10元无门槛券
私享最新 技术干货