Descubren fallas en aplicaciones de Sistemas de Control Industrial para móviles

12/01/2018

Investigadores de IOActive y Embedi encontraron 147 vulnerabilidades de ciberseguridad en 34 aplicaciones móviles usadas en conjunto con sistemas SCADA

 

De acuerdo a los investigadores, si las vulnerabilidades identificadas en la aplicación móvil son explotadas, un atacante podría interrumpir un proceso industrial o comprometer la infraestructura de red industrial, o causar que un operador SCADA realice una acción dañina en el sistema involuntariamente. Las 34 aplicaciones analizadas fueron seleccionadas aleatoriamente de Google Play Store.

“Este nuevo reporte de vulnerabilidades es producto de la investigación original presentada dos años atrás, donde 20 aplicaciones móviles fueron analizadas”, dice Jason Larsen, Consultor Principal de Seguridad en IOActive. “En ese momento, simplemente no eran tantas aplicaciones SCADA en el mercado. Este último reporte refuerza el hecho de que las aplicaciones móviles son cada vez más propensas a tener vulnerabilidades que podrían tener terribles consecuencias en los sistemas SCADA que operan sistemas de control industrial. La clave que olvidan los desarrolladores es que la seguridad debe tomarse en cuenta desde el comienzo (esto ahorra tiempo, dinero y últimamente ayuda a proteger la reputación).”

La investigación original fue presentada por Black Hat en 2015 y se encontró un total de 50 problemas en 20 aplicaciones móviles que fueron analizadas. En 2017, ellos encontraron 147 asombrosos problemas en las 34 aplicaciones seleccionadas por este reporte de investigación. Esto representa un incremento promedio de 1.6 vulnerabilidades por aplicación.

“Si bien el uso de aplicaciones móviles para interactuar con las interfaces y sistemas SCADA simplifica enormemente el monitoreo de esos sistemas para ingenieros, estas aplicaciones también abren las puertas a atacantes maliciosos. La investigación de seguridad demuestra que incluso las aplicaciones móviles SCADA para la producción crítica, no se salvan de un amplio rango de vulnerabilidades de seguridad comunes en el entorno de aplicaciones móviles. De hecho, estas aplicaciones están expuestas a vulnerabilidades comunes que nosotros usualmente encontramos en pruebas de penetración o en SAST (pruebas estáticas de seguridad en aplicaciones)”, dijo Leon Juranic, CTO de DefenseCode.

Qué revelo la investigación

La investigación hecha por Alexander Bolshev, Consultor de seguridad de IOActive,  e Ivan Yushkevich, Auditor de seguridad de la información de Embedi, enfocado en pruebas de software y hardware, usando backend fuzzing e ingeniería inversa. Al hacerlo, descubrieron con éxito vulnerabilidades de seguridad que van desde el almacenamiento inseguro de datos y la comunicación insegura a la criptografía insegura y la alteración del código.

Específicamente, la investigación reveló el top cinco de las debilidades de seguridad: alteración de código (94% de las aplicaciones), autenticación insegura (59% de las aplicaciones) ingeniería inversa (53% de las aplicaciones), almacenamiento inseguro de datos (47% de las aplicaciones) y comunicación insegura (38% de las aplicaciones).

“Las fallas que encontramos fueron terribles, y es evidente que las aplicaciones móviles están siendo desarrolladas y usadas sin pensar en la seguridad”, dice Bolshev. “Es importante notar que los atacantes no necesitan tener acceso físico al smartphone para aprovechar las vulnerabilidades, y no necesitan dirigir ataques directos a las aplicaciones de control ICS”. Si los usuarios del smartphone descargan una aplicación maliciosa de cualquier tipo en el dispositivo, esta puede atacar la aplicación vulnerable usada por el software y hardware ICS. Esto resulta en el uso de aplicaciones maliciosas para atacar otras apps.

“Los vendedores continúan produciendo productos de acceso remoto seguros para satisfacer a las demandas de los clientes, pero el acceso remoto es intrínsecamente vulnerable, sumando a esto las vulnerabilidades específicas de IOActive descritas. ¿Cuantos ‘guardias, puertas o pistolas’ protegen el lugar industrial? ¿Cuantos protegen sus celulares? El acceso remoto es la ruta de ataque preferida para un ataque de ransomware y otros ataques industriales. ¿Porque alguien debería tener el poder de controlar una planta de poder de 2GW, o la línea completa de producción de una fábrica de automóviles, desde un celular, mientras se detiene en un semáforo?”

Avisos e informes

“Los desarrolladores necesitan tener en cuenta que las aplicaciones como estas son básicamente gateways para misiones críticas de sistemas ICS”, dice Yushkevich. “Es importante que los desarrolladores de aplicaciones adopten codificaciones seguras y mejores prácticas para proteger sus sistemas y aplicaciones de ataques peligrosos y muy costosos”

IOActive y Embedi informaron a los vendedores implicados de los descubrimientos a través de un comunicado, y están coordinándose con algunos de estos para asegurar que se implementen las soluciones.

Artículos relacionados: