Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Мобильное приложение для мониторинга и контроля технологических процессов оставляет незащищенные данные в своей папке.
В мобильном приложении системы мониторинга технологических процессов SIMATIC WinCC OA обнаружена уязвимость, которая может стать причиной компрометации конфиденциальных данных. Получив доступ к устройству, злоумышленник способен прочитать незашифрованную информацию из каталога программы.
Проблема касается приложения WinCC OA Operator для iOS, которое обеспечивает доступ к некоторым функциям родительской системы через мобильное устройство. Возможности программы ограничиваются мониторингом нескольких ключевых процессов и настройкой базовых параметров работы оборудования. Передача данных осуществляется по защищенному протоколу HTTPS.
Уязвимость связана с недостаточной безопасностью данных, таких как токен открытого сеанса, который формируется после установки связи с сервером. Часть информации, которая должна храниться в зашифрованном виде, остается доступной в рабочей папке программы.
Для предотвращения компрометации данных разработчик приложения — Siemens — рекомендует снять флажок сохранения пароля на экране авторизации и обязательно выходить из системы после окончания сеанса.
Уязвимость не является критической и получила всего 4 балла по шкале CVSS. В первую очередь это связано с тем, что для ее эксплуатации злоумышленник должен иметь физический доступ к атакуемому устройству.
SIMATIC WinCC OA применяется для визуального контроля за технологическими процессами на крупных предприятиях. Программный комплекс предназначен для больших, географически распределенных систем, включающих в себя миллионы контроллеров от разных производителей. Это флагманский продукт промышленной линейки Siemens, ориентированный на управление работой трубопроводов, организацию дорожного движения и научные исследования.
Проблему с мобильным клиентом SIMATIC WinCC обнаружили эксперты в области безопасности ICS-систем Александр Болшев и Иван Юшкевич. Ранее они провели тестирование трех десятков SCADA-приложений, выбранных случайным образом. По результатам исследования уязвимости из числа OWASP Mobile Top 10 встретились в программах 147 раз.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |