据外媒 1 月 13 日报道，IOACTIVE 研究人员发出警告称有黑客组织日前正瞄准 SCADA-ICS 系统 ，旨在利用其移动应用程序缺乏安全的编码标准，达到攻击关键基础设施的目的。

SCADA-ICS （ Supervisory Control and Data Acquisition Industrial Control Systems ）— 监督控制以及数据采集工业控制系统， 表示在关键基础设施上运行的工业自动化系统，负责清洁水、能源等关键服务的控制和运行。

近期，IOACTIVE 的研究人员发布了一份报告，分析了连接到物联网和移动应用程序的 SCADA-ICS 系统的安全影响。

该报告指出，移动应用存在于许多 ICS（工业控制系统） 领域，具体可分为两类：本地（Wi-Fi，蓝牙）和远程应用（互联网，VPN），目前这两类主要受到三种形式的攻击，如未经授权的物理访问到设备或 “ 虚拟 ” 访问设备数据、通信渠道泄露（ MiTM ）、应用程序泄露。

考虑到这些攻击，移动 SCADA 应用程序可能直接或者间接地影响工业过程以及工业 *** 基础设施，并威胁操作员对系统执行有害操作。

据 IOACTIVE 透露，该研究基于 OWASP 2016 进行，分析了 34 家在 Google Play 商店上发布应用程序的供应商。目前已确定有 147 个与安全编码编程相关的问题（ 该安全编码可能允许代码被篡改 ）。

研究人员发现利用这些问题黑客可以远程控制智能手机，以进一步攻击在硬件和软件上使用的易受攻击的 ICS 应用程序，并且几乎每个应用程序都增加了16 个漏洞，例如一些应用程序中包含不安全的授权，而这些授权并没有经过任何形式的身份验证；由于缺少代码混淆，其他的漏洞也存在逆向工程；再加上不安全的数据存储和意外的数据泄露，使得黑客可以访问与 SCADA 系统相关的应用程序或数据。

由于这些新的漏洞构成了巨大的威胁，甚至超过了 2016 年乌克兰袭击所造成的损害，因此为了减少社会安全受到的威胁性，IOACTIVE 建议应用程序开发人员在开发计划中考虑安全编码。

消息来源：Security Affairs，编译：榆榆，校审：FOX;

本文由 HackerNews.cc 编译整理，封面来源于 *** ；

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。