根據兩位網(wǎng)絡(luò )安全專(zhuān)業(yè)人士最近的研究，缺乏對從設計階段向移動(dòng)應用程序構建安全性的重要性的理解，導致移動(dòng)SCADA應用程序中的數百個(gè)漏洞可能允許攻擊者直接誤操作或影響工業(yè)流程。

根據總部位于西雅圖的信息安全服務(wù)公司IOActive的安全顧問(wèn)Alexander Bolshev所說(shuō)，一些最令人不安的漏洞包括那些由不安全的數據存儲和未正確配置或使用安全通信的應用程序提供的漏洞。

部分原因是工業(yè)控制系統供應商在開(kāi)發(fā)移動(dòng)應用程序時(shí)缺乏知識，他們希望第三方顧問(wèn)尋求幫助，他說(shuō)。在某些情況下，這些顧問(wèn)以與消費者應用程序開(kāi)發(fā)相同的方式處理SCADA移動(dòng)應用程序開(kāi)發(fā)。

“他們不了解安全對這個(gè)地區有多重要，”他說(shuō)。

最近發(fā)布的白皮書(shū)“ 物聯(lián)網(wǎng)時(shí)代的SCADA和移動(dòng)安全 ”中的測試和分析基于OWASP Mobile Top 10 2016，這是Open Web Application Security Project收集的十大移動(dòng)風(fēng)險。這是兩年前由Embedi的信息安全審計員Bolshev和Ivan Yushkevich進(jìn)行的研究的后續行動(dòng)，其中的朋友們觀(guān)察了當時(shí)新興的監控和數據采集系統移動(dòng)應用市場(chǎng)。研究人員隨后查看了20個(gè)基于A(yíng)ndroid的應用程序，并發(fā)現了50個(gè)問(wèn)題。

“令我們驚訝的是，漏洞率隨著(zhù)時(shí)間的推移而增加，”布爾什夫說(shuō)。“我們在34個(gè)應用程序中發(fā)現了147個(gè)問(wèn)題。”

Bolshev表示，最令人不安的是與數據存儲和不安全通信相關(guān)的漏洞。所審查的應用程序中約有47%是將數據存儲在SD卡(外部)或虛擬(模擬)存儲分區上。作為一個(gè)副作用，這些應用程序繼承了這些存儲設備使用的文件系統的弱點(diǎn)，因為它們沒(méi)有適當的訪(fǎng)問(wèn)控制列表或實(shí)現的權限機制，根據白皮書(shū)。

“換句話(huà)說(shuō)，如果應用程序具有讀取/寫(xiě)入該設備的權限，它可以完全訪(fǎng)問(wèn)其他應用程序存儲在同一設備上的其他數據，”研究人員寫(xiě)道。

反過(guò)來(lái)，超過(guò)三分之一的應用程序沒(méi)有正確配置或使用安全通信。根據白皮書(shū)，確定的最常見(jiàn)問(wèn)題與缺乏傳輸層安全證書(shū)驗證有關(guān)。

作者寫(xiě)道：“我們發(fā)現應用程序沒(méi)有執行檢查以確保它們與真正的后端通信，而不是流氓后端服務(wù)器。”

除了涵蓋OWASP Top 10和OWASP Mobile Top 10 2016風(fēng)險的眾所周知的建議之外，研究人員還推薦了移動(dòng)SCADA客戶(hù)端開(kāi)發(fā)人員可以采取的幾項措施，包括不將敏感數據存儲在SD卡或類(lèi)似分區上訪(fǎng)問(wèn)控制列表。

研究人員寫(xiě)道：“業(yè)界應該開(kāi)始關(guān)注其SCADA移動(dòng)應用的安全狀況，但為時(shí)已晚。”