SCADA-ICS系统移动应用程序存编码缺陷,或致关键基础设施沦陷

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

      据外媒 1 月 13 日报道,IOACTIVE 研究人员发出警告称有黑客组织日前正瞄准 SCADA-ICS 系统 ,旨在利用其移动应用程序缺乏安全的编码标准,达到攻击关键基础设施的目的。

SCADA-ICS ( Supervisory Control and Data Acquisition Industrial Control Systems )— 监督控制以及数据采集工业控制系统, 表示在关键基础设施上运行的工业自动化系统,负责清洁水、能源等关键服务的控制和运行。

      近期,IOACTIVE 的研究人员发布了一份报告,分析了连接到物联网和移动应用程序的 SCADA-ICS 系统的安全影响。

      该报告指出,移动应用存在于许多 ICS(工业控制系统) 领域,具体可分为两类:本地(Wi-Fi,蓝牙)和远程应用(互联网,VPN),目前这两类主要受到三种形式的攻击,如未经授权的物理访问到设备或 “ 虚拟 ” 访问设备数据、通信渠道泄露( MiTM )、应用程序泄露。

scada-ics-infrastructure

      考虑到这些攻击,移动 SCADA 应用程序可能直接或者间接地影响工业过程以及工业网络基础设施,并威胁操作员对系统执行有害操作。

      据 IOACTIVE 透露,该研究基于 OWASP 2016 进行,分析了 34 家在 Google Play 商店上发布应用程序的供应商。目前已确定有 147 个与安全编码编程相关的问题( 该安全编码可能允许代码被篡改 )。

      研究人员发现利用这些问题黑客可以远程控制智能手机,以进一步攻击在硬件和软件上使用的易受攻击的 ICS 应用程序,并且几乎每个应用程序都增加了16 个漏洞,例如一些应用程序中包含不安全的授权,而这些授权并没有经过任何形式的身份验证;由于缺少代码混淆,其他的漏洞也存在逆向工程;再加上不安全的数据存储和意外的数据泄露,使得黑客可以访问与 SCADA 系统相关的应用程序或数据。

      由于这些新的漏洞构成了巨大的威胁,甚至超过了 2016 年乌克兰袭击所造成的损害,因此为了减少社会安全受到的威胁性,IOACTIVE 建议应用程序开发人员在开发计划中考虑安全编码。

消息来源:Security Affairs

转自 HackerNews.cc

标签: Google 安全 标准 代码 互联网 计划 漏洞 通信 网络 问题

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:Intel:CPU漏洞本月底全部修复 性能损失不超过 6%

下一篇:面对新兴安全威胁的出现,企业该如何应对