根据两位网络安全专业人士最近的研究,缺乏对从设计阶段向移动应用程序构建安全性的重要性的理解,导致移动SCADA应用程序中的数百个漏洞可能允许攻击者直接误操作或影响工业流程。
根据总部位于西雅图的信息安全服务公司IOActive的安全顾问Alexander Bolshev所说,一些最令人不安的漏洞包括那些由不安全的数据存储和未正确配置或使用安全通信的应用程序提供的漏洞。
部分原因是工业控制系统供应商在开发移动应用程序时缺乏知识,他们希望第三方顾问寻求帮助,他说。在某些情况下,这些顾问以与消费者应用程序开发相同的方式处理SCADA移动应用程序开发。
“他们不了解安全对这个地区有多重要,”他说。
最近发布的白皮书“ 物联网时代的SCADA和移动安全 ”中的测试和分析基于OWASP Mobile Top 10 2016,这是Open Web Application Security Project收集的十大移动风险。这是两年前由Embedi的信息安全审计员Bolshev和Ivan Yushkevich进行的研究的后续行动,其中的朋友们观察了当时新兴的监控和数据采集系统移动应用市场。研究人员随后查看了20个基于Android的应用程序,并发现了50个问题。
“令我们惊讶的是,漏洞率随着时间的推移而增加,”布尔什夫说。“我们在34个应用程序中发现了147个问题。”
Bolshev表示,最令人不安的是与数据存储和不安全通信相关的漏洞。所审查的应用程序中约有47%是将数据存储在SD卡(外部)或虚拟(模拟)存储分区上。作为一个副作用,这些应用程序继承了这些存储设备使用的文件系统的弱点,因为它们没有适当的访问控制列表或实现的权限机制,根据白皮书。
“换句话说,如果应用程序具有读取/写入该设备的权限,它可以完全访问其他应用程序存储在同一设备上的其他数据,”研究人员写道。
反过来,超过三分之一的应用程序没有正确配置或使用安全通信。根据白皮书,确定的最常见问题与缺乏传输层安全证书验证有关。
作者写道:“我们发现应用程序没有执行检查以确保它们与真正的后端通信,而不是流氓后端服务器。”
除了涵盖OWASP Top 10和OWASP Mobile Top 10 2016风险的众所周知的建议之外,研究人员还推荐了移动SCADA客户端开发人员可以采取的几项措施,包括不将敏感数据存储在SD卡或类似分区上访问控制列表。
研究人员写道:“业界应该开始关注其SCADA移动应用的安全状况,但为时已晚。”