根據(jù)兩位網(wǎng)絡(luò)安全專業(yè)人士最近的研究，缺乏對從設(shè)計(jì)階段向移動(dòng)應(yīng)用程序構(gòu)建安全性的重要性的理解，導(dǎo)致移動(dòng)SCADA應(yīng)用程序中的數(shù)百個(gè)漏洞可能允許攻擊者直接誤操作或影響工業(yè)流程。

根據(jù)總部位于西雅圖的信息安全服務(wù)公司IOActive的安全顧問Alexander Bolshev所說，一些最令人不安的漏洞包括那些由不安全的數(shù)據(jù)存儲(chǔ)和未正確配置或使用安全通信的應(yīng)用程序提供的漏洞。

部分原因是工業(yè)控制系統(tǒng)供應(yīng)商在開發(fā)移動(dòng)應(yīng)用程序時(shí)缺乏知識(shí)，他們希望第三方顧問尋求幫助，他說。在某些情況下，這些顧問以與消費(fèi)者應(yīng)用程序開發(fā)相同的方式處理SCADA移動(dòng)應(yīng)用程序開發(fā)。

“他們不了解安全對這個(gè)地區(qū)有多重要，”他說。

最近發(fā)布的白皮書“ 物聯(lián)網(wǎng)時(shí)代的SCADA和移動(dòng)安全 ”中的測試和分析基于OWASP Mobile Top 10 2016，這是Open Web Application Security Project收集的十大移動(dòng)風(fēng)險(xiǎn)。這是兩年前由Embedi的信息安全審計(jì)員Bolshev和Ivan Yushkevich進(jìn)行的研究的后續(xù)行動(dòng)，其中的朋友們觀察了當(dāng)時(shí)新興的監(jiān)控和數(shù)據(jù)采集系統(tǒng)移動(dòng)應(yīng)用市場。研究人員隨后查看了20個(gè)基于Android的應(yīng)用程序，并發(fā)現(xiàn)了50個(gè)問題。

“令我們驚訝的是，漏洞率隨著時(shí)間的推移而增加，”布爾什夫說。“我們在34個(gè)應(yīng)用程序中發(fā)現(xiàn)了147個(gè)問題。”

Bolshev表示，最令人不安的是與數(shù)據(jù)存儲(chǔ)和不安全通信相關(guān)的漏洞。所審查的應(yīng)用程序中約有47%是將數(shù)據(jù)存儲(chǔ)在SD卡(外部)或虛擬(模擬)存儲(chǔ)分區(qū)上。作為一個(gè)副作用，這些應(yīng)用程序繼承了這些存儲(chǔ)設(shè)備使用的文件系統(tǒng)的弱點(diǎn)，因?yàn)樗鼈儧]有適當(dāng)?shù)脑L問控制列表或?qū)崿F(xiàn)的權(quán)限機(jī)制，根據(jù)白皮書。

“換句話說，如果應(yīng)用程序具有讀取/寫入該設(shè)備的權(quán)限，它可以完全訪問其他應(yīng)用程序存儲(chǔ)在同一設(shè)備上的其他數(shù)據(jù)，”研究人員寫道。

反過來，超過三分之一的應(yīng)用程序沒有正確配置或使用安全通信。根據(jù)白皮書，確定的最常見問題與缺乏傳輸層安全證書驗(yàn)證有關(guān)。

作者寫道：“我們發(fā)現(xiàn)應(yīng)用程序沒有執(zhí)行檢查以確保它們與真正的后端通信，而不是流氓后端服務(wù)器。”

除了涵蓋OWASP Top 10和OWASP Mobile Top 10 2016風(fēng)險(xiǎn)的眾所周知的建議之外，研究人員還推薦了移動(dòng)SCADA客戶端開發(fā)人員可以采取的幾項(xiàng)措施，包括不將敏感數(shù)據(jù)存儲(chǔ)在SD卡或類似分區(qū)上訪問控制列表。

研究人員寫道：“業(yè)界應(yīng)該開始關(guān)注其SCADA移動(dòng)應(yīng)用的安全狀況，但為時(shí)已晚。”