Global Preloader
Vulnerabilidad
(12/Jan/2018) Los defectos de seguridad que se encuentran en la mayoría de las aplicaciones móviles de SCADA

Los defectos de seguridad que se encuentran en la mayoría de las aplicaciones móviles de SCADA

Los investigadores de IOActive e Embedi han llevado a cabo un análisis de las aplicaciones móviles SCADA de 34 proveedores y han encontrado vulnerabilidades en la gran mayoría de ellas, incluidas fallas que pueden aprovecharse para influir en los procesos industriales.
Hace dos años, los investigadores Alexander Bolshev e Ivan Yushkevich analizaron 20 aplicaciones móviles diseñadas para funcionar con software y hardware de sistemas de control industrial (ICS). En ese momento, habían encontrado aproximadamente 50 problemas de seguridad, al menos uno en cada aplicación.
Bolshev, que ahora trabaja para IOActive, y Yushkevich, actualmente empleado de Embedi, una vez más han decidido analizar las aplicaciones móviles utilizadas para los sistemas de supervisión y adquisición de datos (SCADA) en un esfuerzo por determinar cómo ha evolucionado el paisaje ahora que el Internet of Things (IIoT) se ha vuelto más frecuente.
Esta vez, los expertos seleccionaron aleatoriamente las aplicaciones SCADA ofrecidas en la tienda Google Play por 34 proveedores, en la mayoría de los casos diferentes a las probadas en 2015. El análisis se centró en las aplicaciones del cliente y los sistemas back-end, y se enfocó en aplicaciones locales y remotas .
Las aplicaciones locales generalmente se instalan en las tabletas utilizadas por los ingenieros y se conectan directamente a dispositivos industriales a través de Bluetooth, Wi-Fi o una conexión en serie. Dado que estos programas se pueden usar para controlar dispositivos como PLC, RTU y pasarelas industriales, por lo general solo se usan dentro del perímetro de la planta, lo que se considera seguro. Las aplicaciones remotas, por otro lado, permiten a los ingenieros conectarse a ICS a través de Internet y redes de células privadas. Si bien en la mayoría de los casos solo están diseñados para procesos de monitoreo, algunos de ellos permiten a los usuarios controlar los procesos.
Bolshev y Yushkevich se propusieron encontrar las vulnerabilidades descritas en la lista de OWASP Mobile Top 10 de 2016. Estos defectos pueden permitir a los atacantes con acceso local o remoto a un dispositivo, y los que están en una posición de intermediario (MitM), influir directa o indirectamente en un proceso industrial o engañar a un operador para que realice una acción dañina.
Las aplicaciones de los desarrolladores independientes y los principales proveedores fueron probadas, lo que llevó al descubrimiento de 147 vulnerabilidades en los clientes y sus sistemas back-end.

Los investigadores encontraron que todas menos dos de las aplicaciones no pudieron implementar protecciones contra la alteración del código. Las dos aplicaciones que tenían dicho mecanismo solo implementaron una característica básica de detección de raíz. Para los hackers malintencionados, es más fácil explotar las vulnerabilidades en dispositivos Android rooteados y algunas familias de malware están diseñadas para rootear teléfonos inteligentes y tabletas.
Más de la mitad de las aplicaciones probadas también carecían de mecanismos de autorización seguros: solo el 20 por ciento de las aplicaciones locales implementaron correctamente un sistema de autorización. Los problemas más comunes son la falta de protección con contraseña y la presencia de una función de "recordar contraseña", que anula el propósito de establecer la protección con contraseña.

Los expertos también encontraron que más de la mitad de las aplicaciones carecían de ofuscación de código y otros mecanismos diseñados para evitar la ingeniería inversa. Permitir que los atacantes realicen una ingeniería inversa de una aplicación les facilita encontrar y explotar vulnerabilidades.
Casi la mitad de las aplicaciones probadas tampoco pudieron almacenar datos de forma segura. Los datos a menudo se almacenan en la tarjeta SD o en una partición virtual, y no están protegidos con listas de control de acceso (ACL) u otros mecanismos de permiso.
Como era de esperar, más de un tercio de las aplicaciones analizadas no logró asegurar las comunicaciones, incluso a través de estrechos saludos de mano, versiones SSL incorrectas y transmisión de datos sin cifrar. Los investigadores notaron que sus pruebas no cubrían las aplicaciones que usan Modbus y otros protocolos ICS, que son inseguros por diseño.
En cuanto a los problemas de backend, los investigadores descubrieron varios tipos de vulnerabilidades, incluida la inyección SQL, la corrupción de memoria, DoS y fallas de fuga de información.
En 2015, Bolshev y Yushkevich predijeron que los problemas que habían encontrado desaparecerían en el futuro como resultado de la naturaleza en rápido desarrollo del software móvil y el crecimiento de IoT. Sin embargo, sus predicciones no han demostrado ser correctas, con las últimas pruebas que muestran que más del 20 por ciento de los problemas descubiertos permiten a los actores maliciosos desinformar a los operadores e influir en los procesos industriales.