黑客已经能利用智能手机炸掉工厂——口袋里的手机是定时炸弹

如今，许多企业会让员工通过手机应用监控和管理机器，有时甚至会监控和管理整个工业生产流程。这类应用据称可以提高效率，但同时也成了网络攻击的靶子。最糟糕的可能性是，黑客会利用这些漏洞来破坏机器，进而很有可能摧毁整个工厂。

请点击此处输入图片描述

去年，网络安全公司IOActive的亚历山大•布尔什维（Alexander Bolshev）和Embedi公司的伊万•尤什克维奇（Ivan Yushkevich）两位安全研究人员检测了西门子、施耐德电气等公司的34款手机应用，共发现147个漏洞。这34款手机应用都是从谷歌商店随机选择的。布尔什维拒绝公开具体哪些企业的安全防御能力最差，也不愿透露具体应用中的漏洞，但他表示，这34款应用中只有2款应用算得上无懈可击。

在研究人员发现的漏洞中，有一些可能会给黑客们可趁之机，干扰应用和机器或相关流程之间数据的传输。这样以来工程师可能会误以为机器在安全温度下运转，而实际上机器已经过热。另一个漏洞则可能让黑客们在移动设备上植入恶意代码，从而向控制机器的服务器发送虚假指令。不难想象，这类攻击会给流水线带来巨大的损失，或使炼油厂发生严重爆炸。

请点击此处输入图片描述

尽管布尔什维一再强调黑客攻击带来的风险大小不一，但将手机应用与工业控制系统结合起来的确是“一种致命又脆弱的混合物”。部分企业可能会有多重自动保险系统降低潜在损失。同时，部分企业还会要求工程师要依靠多个数据源操作机器，而不能单单依靠手机应用上的单一数据。

不过这种方法并不能做到万无一失，因为有证据表明，黑客已经能够绕过生产设备的大范围防御了。而且随着发电厂和交通运输系统接入网络，风险的范围也进一步扩大。这些领域的移动应用也会是整个系统的的弱点。

请点击此处输入图片描述

研究人员称他们还没有具体研究是否这些漏洞曾被黑客真正利用过。在发表他们的研究成果之前，两位研究人员都提前联系了手机应用存在漏洞的公司。一些漏洞已经被修复，但仍有许多公司未作出回应。

大西洋理事会网络安全创新方向研究院博•伍兹（Beau Woods）称，企业面临着进退两难的境地。他说道，“紧急情况出现时，你最不想看到的情况就是操作人员被锁定在关键系统之外，所以系统在设计时会考虑多种接入方式”，如通过手机应用等，“但接入方式增加后也给了坏人可乘之机。”