В приложениях для SCADA-систем обнаружено более ста уязвимостей

image

Теги: SCADA, АСУ ТП, уязвимость, приложение

34 приложения из Google Play содержат 147 уязвимостей, начиная от незащищенных коммуникаций и заканчивая проблемами с шифрованием.

Исследователи компаний IOActive и Embedi обнаружили 147 уязвимостей в 34 приложениях, используемых в паре со SCADA-системами. Путем их эксплуатации злоумышленник может сорвать производственный процесс, скомпрометировать инфраструктуру промышленной сети или заставить оператора SCADA неумышленно выполнить действия, способные причинить вред системе.

Для исследования специалисты произвольным образом выбрали из Google Play Store 34 приложения. Эксперты тестировали аппаратное и программное обеспечения с помощью таких техник, как реверс-инжиниринг и backend fuzzing. В ходе анализа они обнаружили целый ряд разнообразных уязвимостей, начиная от незащищенных хранилищ данных и коммуникаций и заканчивая проблемами с шифрованием.

Исследователи выделили пять наиболее распространенных уязвимостей: злонамеренное изменение кода (94% приложений), незащищенный механизм авторизации (59%), реверс-инжиниринг (53%), незащищенные хранилища данных (47%) и незащищенные коммуникации (38%).

IOActive и Embedi уведомили производителей уязвимых продуктов об обнаруженных проблемах через программы ответственного раскрытия уязвимостей и скоординировались с некоторыми из них для подготовки исправлений.

Реверс-инжиниринг - исследование устройства или ПО, а также документации на них с целью понять принцип его работы; например, для обнаружения недокументированных возможностей (в том числе программных закладок), изменения или воспроизведения устройства, ПО или иного объекта с аналогичными функциями, но без прямого копирования.

Фаззинг (fuzzing) – техника тестирования ПО, часто автоматическая или полуавтоматическая, заключающая в передаче приложению неправильных, неожиданных или случайных данных. Предметом интереса являются вызванные такими данными сбои в работе и зависания, нарушения внутренней логики и проверок в коде приложения, а также утечки памяти.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus