Onderzoekers hebben in mobiele apps voor industriële systemen tal van kwetsbaarheden gevonden waarmee een aanvaller industriële processen kan verstoren, industriële netwerken kan compromitteren en medewerkers zonder dat ze dit doorhebben schadelijke acties op het systeem kan laten uitvoeren.
De onderzoekers van securitybedrijven Embedi en IOActive analyseerden 34 Android-apps in de Google Play Store voor Supervisory Control and Data Acquisition (SCADA) systemen en ontdekten 147 kwetsbaarheden. Het gaat dan om problemen zoals onbeveiligde communicatie tussen app en systemen, het gebruik van onbeveiligde opslag, onveilige autorisatie, geen bescherming tegen reverse engineering en de mogelijkheid om code te manipuleren. Een medewerker van een industrieel systeem kan aan de hand van zijn app denken dat alles in orde is, terwijl dit niet het geval is.
"De kwetsbaarheden die we vonden waren schokkend en zijn bewijs dat mobiele applicaties zonder enige aandacht voor security worden ontwikkeld en gebruikt", zegt onderzoeker Alexander Bolshev. Hij merkt op dat een aanvaller geen fysieke toegang tot een smartphone nodig heeft om misbruik van de kwetsbaarheden te maken. Als de smartphone-gebruiker een kwaadaardige app downloadt, kan die applicatie de industriële app aanvallen. Andere aanvalsvectoren zijn SQL-injection en het onderscheppen van verkeer tussen de app en het systeem.
Volgens onderzoeker Ivan Yushkevich moeten ontwikkelaars beseffen dat applicaties in principe de toegangspoort tot belangrijke industriële systemen zijn. Het is daarom belangrijk dat ontwikkelaars veilig programmeren en best practices toepassen, laat Yushkevich verder weten. Leveranciers van de kwetsbare apps zijn inmiddels ingelicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.