آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

افزایش بردارهای حمله برای اینترنت اشیاء صنعتی توسط برنامه‌های کاربردی تلفن‌های هوشمند

عنوانافزایش بردارهای حمله برای اینترنت اشیاء صنعتی توسط برنامه‌های کاربردی تلفن‌های هوشمند
گروه اصلیOther
شرح خبر

برنامه‌های تلفن همراه می‌توانند برای مداخله در سیستم‌های کنترل صنعتی مورد سوءاستفاده قرار گیرند

نگرانی روزافزونی در رابطه با سیستم‌های کنترل صنعتی که کارخانجات، نیروگاه‌های برق یا پالایشگاه‌های نفت را اداره می‌کنند، وجود دارد. از آن‌جایی که این سیستم‌ها، برای بهره‌وری بالاتر، هر روز بیش از پیش به اینترنت متکی می‌شوند، هکرها این سیستم‌ها را اهدافی سودآور برای ایجاد اختلال می‌بینند.

فروشندگان نرم‌افزار ICS، به‌طور فزاینده‌ای برنامه‌های کاربردی تلفن همراه را، برای کنترل از راه دور قابل انعطاف توسعه می‌دهند. اما، به گفته دو تن از محققان، امنیت این برنامه‌ها تا رسیدن به حد مطلوب فاصله بسیار زیادی دارد.

این نتیجه توسط Alexander Bolshev، مشاور امنیتی در IOActive و Ivan Yushkevich، حسابرس امنیت اطلاعات در Embedi به دست آمده است. این دو نفر مطالعه‌ای بر روی برنامه‌های کاربردی موبایل ICS انجام داده و نتیجه آن را در کنفرانس امنیتی Black Hat در سال 2015 ارائه کرده‌اند، که تصویری غم‌انگیز به نمایش می‌گذارد.

تحقیق اخیر آن‌ها در زمینه اینترنت اشیاء صنعتی، نگاهی تازه‌ به کتابخانه در حال توسعه برنامه‌های کاربردی موبایل ICS می‌اندازد، و یافته‌های نگران‌کننده‌ای ارائه می‌دهد. آن‌ها انتظار داشتند این چشم‌انداز طی دو سال گذشته بهبود یابد، اما اکنون می‌گویند که این نگاه آن‌ها، بیش از حد خوش‌بینانه بوده است.

آن‌ها در یک مقاله پژوهشی نوشتند: «دو سال از تحقیق قبلی ما گذشته و همه چیز کماکان در حال تکامل است. متأسفانه، امنیت آن‌گونه که ما انتظار داشتیم تکامل نیافته و این چشم‌انداز، نسبت به تمامی زمان‌های پیش از آن، از امنیت کمتری برخوردار است.»

گلچین‌شده از گوگل‌پلی

Bolshev و Yushkevich به‌طور تصادفی تعدادی برنامه کاربردی موبایل توسعه ‌داده شده توسط ICS را، از گوگل‌پلی انتخاب کردند. آن‌ها مخصوصا برنامه‌هایی را مورد تواجه قرار دادند که به نرم‌افزار یا سخت‌افزار نهایی فروشندگان دسترسی دارد، تا بتوانند یک محیط حمله وسیع‌تر را آزمایش کنند.

آن‌ها با بهره‌گیری از لیست ده معضل امنیتی برتر OWASP، 34 برنامه کاربردی از 34 فروشنده را مورد مطالعه قرار دادند و توانستند 147 معضل امنیتی در برنامه‌های کاربردی موبایل و بک‌اند‌ها (backend) پیدا کنند. 

به گفته آن‌ها، «این نشان‌دهنده افزایش متوسط  1.6 آسیب‌پذیری، به ازای هر برنامه کاربردی می‌باشد.»

32 مورد از 34 برنامه کاربردی دارای معضل دستکاری کد بودند، که به توانایی یک عامل مخرب برای ویرایش کد، تغییر پویا در محتوای حافظه یا تغییر APIها اشاره دارد.

معضل رایج بعدی، احراز هویت ناامن بود که به فرد این امکان را می‌دهد – به‌واسطه برنامه کاربردی موبایل – تا مجوزهای خاص مورد نیاز برای یک خدمت را، دور بزند.

بر اساس این مقاله، «رایج‌ترین اشتباه، فقدان کامل کلمات عبور برای حفاظت از پروژه HMI (واسط ماشین انسانی) و پیکربندی داده‌های پنل بود. چنانچه یک کلمه عبور درخواست شود، از آن تنها برای حفاظت از پیکربندی برنامه سراسری استفاده می‌شود.»

بر اساس یافته‌های این دو محقق، تقریباً نیمی از برنامه‌های کاربردی موبایل، دارای معضلات ذخیره‌سازی ناامن یا نشت داده هستند. تمامی این برنامه‌ها، داده‌ها را بر روی کارت حافظه خارجی– که می‌تواند توسط یک مهاجم محلی حذف شود – یا در یک پارتیشن ذخیره‌سازی شبیه‌سازی‌شده، نگهداری می‌کنند.

بر مبنای این تحقیق، «به‌عنوان یک اثر جانبی، این برنامه‌ها، نقاط ضعف سیستم‌ فایل‌های استفاده‌شده توسط این دستگاه‌های ذخیره‌سازی را، به ارث برده‌اند، چرا که برای آن‌ها، ACL (لیست‌های کنترل دسترسی) یا مکانیزم‌های مجوز مناسب، پیاده‌سازی نشده است. به عبارت دیگر، چنانچه برنامه کاربردی مجوز خواندن/نوشتن بر روی یک دستگاه را داشته باشد، به تمامی داده‌هایی که توسط برنامه‌های دیگر بر روی این دستگاه ذخیره شده، نیز، دسترسی کامل دارد.»

تأثیر مخرب

تمامی آسیب‌پذیری‌های امنیتی، لزوماً به این معنا نیستند که یک هکر قادر به صدمه زدن وایجاد خسارت است. اما یافته‌های آن‌ها دربرگیرنده مسأله وحشتناکی است: بیش از 20% از 147 معضل شناسایی‌شده، می‌تواند مستقیما برای گمراه‌سازی اپراتور ICS یا تأثیر نوعی بر روی فرآیندهای صنعتی، استفاده شود.

بر اساس این تحقیق، «به این نتیجه رسیدیم که رشد اینترنت اشیاء، در دوره‌ای که همه چیز متصل است، منجر به بهبود امنیت برای برنامه‌های کاربردی موبایل SCADA  نمی‌شود.»

آدرس اینترنتی خبرhttps://www.bankinfosecurity.com/rising-attack-vector-for-industrial-iot-smartphone-apps-a-10580
تاریخ درج خبر1396-11-02
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست