ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map               

Мобильные приложения для АСУ ТП уязвимы

29.01.2018

Абсолютное большинство программных продуктов не защищены от взлома и «левой» авторизации

Новое исследование касалось 34 программных продуктов 20 вендоров, которые предназначены для сбора, обработки, отображения и архивирования информации (SCADA) об объектах автоматизированных систем управления технологическими процессами (АСУ ТП).

Масштаб бедствия

Приложения опубликованы в магазине Google Play и обычно устанавливаются инженерами на планшетах. Приложения подключаются напрямую к объектам управления через Bluetooth, Wi-Fi или последовательное соединение; удаленное подключение возможно через Интернет и сотовые сети.

В общей сложности у 34 приложений найдено 140 уязвимостей. Только два из анализируемых приложения защищены от взлома; на втором месте (59%) — небезопасная авторизация; на третьем (53%) — отсутствие кодов обфускации и других механизмов, предназначенных для предотвращения обратного проектирования.

Многие приложения не способны безопасно хранить и передавать данные

Почти половина тестируемых приложений также не смогла безопасно хранить данные. Данные часто хранятся на SD-карте или виртуальном разделе, и они не защищены списками управления доступом или другими механизмами разрешения.

Не удивительно, что более трети проанализированных приложений не смогли защитить связь, в том числе с помощью взаимного удостоверения авторства и целостности, неправильных версий SSL и передачи данных с открытым текстом. Исследователи отметили, что их тесты не охватывали приложения, использующие Modbus и другие протоколы АСУ ТП, которые небезопасны по своему исполнению.

Это касается клиентской функциональности. Что касается проблем связи с серверной частью, исследователи обнаружили различные типы уязвимостей, включая SQL-инъекции, повреждение памяти, DoS и утечку информации.

Что делать?

Компания ARinteg накопила значительный опыт в защите АСУ ТП. Обратившись в нашу компанию, вы получите полный спектр услуг по обеспечению безопасности этих систем как на клиентском, так и серверном уровне. 

Возврат к списку

qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram