Эксперты обнаружили 147 уязвимостей в мобильных приложениях для АСУ ТП

[душман]

Исследователи кибербезопасности из компаний IOActive и Embedi обнаружили 147 уязвимостей в 34 мобильных приложениях для автоматизированных систем управления технологическими процессами (АСУ ТП) SCADA.

По словам исследователей, проэксплуатировав данные уязвимости, злоумышленник может нарушить производственный процесс, поставить под угрозу промышленную сетевую инфраструктуру или заставить оператора SCADA непреднамеренно выполнять вредоносные действия в системе. 34 тестируемых мобильных приложения были выбраны в случайном порядке в магазине Google Play Store.

В ходе исследования было проведено тестирование программного и аппаратного обеспечения с использованием таких методов, как фаззинг и реверс-инжиниринг. Исследователям удалось обнаружить множество уязвимостей, начиная от небезопасного хранения данных и незащищенных коммуникаций до небезопасной криптографии и возможности модификации кода.

Как показало исследование, в числе наиболее распространенных уязвимостей оказались: возможность модификации кода (обнаружена в 94% приложений), небезопасная авторизация (59%), возможность реверс-инжиниринга (53%), небезопасное хранение данных (47%) и незащищенные коммуникации (38%).

«Важно отметить, что злоумышленникам не нужно иметь физический доступ к смартфону для эксплуатации уязвимостей. Им также не нужно напрямую атаковать приложения для управления АСУ. Если пользователи смартфона загружают на устройство вредоносное приложение любого типа, это приложение может затем атаковать уязвимое приложение, используемое для программного обеспечения и оборудования АСУ,» - отметили специалисты.

Исследователи проинформировали разработчиков приложений об уязвимостях. В настоящее время готовятся соответствующие патчи.