Mobile Apps für Industriesteuerungen und IoT leiden an schweren Sicherheitslecks

Immer häufiger bieten Steuerungssysteme (SCADA oder ICS) von industriellen Anlagen und Kraftwerken die Möglichkeit, diese auch über mobil Anwendungen auf einem Handy zu steuern. Solche Apps könnnen natürlich die Effizienz der Mitarbeiter erheblich steigern, wenn sie dadurch bestimmte Prozesse verfolgen, überwachen oder auch steuern können. Doch genau diese Anwendungen leiden teilweise an schwerwiegenden Sicherheitslecks.

Die Sicherherheitsforscher Alexander Bolshev von IOActive und Ivan Yushkevich von Embedi haben rund ein Jahr lang 34 Apps von Herstellern wie Siemens oder Schneider Electric untersucht. Diese wurden nach dem Zufallsprinzip aus dem Appstore Google Play ausgewählt. Das Ergebnis sind 147 Sicherheitslecks. Und in lediglich zwei dieser 34 Anwendungen konnten die beiden Sicherheitsforscher überhauptkeine Lecks finden.

Die Kombination aus mobilen Apps und industriellen Anwendungen nennt Bolshev einen „sehr gefährlichen und verwundbaren Cocktail“. Denn neben herstellenden Unternehmen sind auch Anlagen wie Kraftwerke oder Raffinerien über solche Apps zu erreichen.

Verschiedene Mobile Apps die industrielle Systeme remote Steuern können, lassen sich meist auf eine der drei Arten angreifen
(Bild: IOActive).

Die beiden Forscher teilen nicht mit, welche Apps betroffen sind, von welchen Herstellern diese stammen oder auch welche besonders schwere Lecks aufweisen. Doch über die Apps könnten Hacker auch auf Systeme zugreifen und so beispielsweise eine Maschine zerstören. Im Extremfall wäre es wohl auch möglich, eine gesamte Fabrikanlage über Manipulierungen völlig zu zerstören.

So erlauben es einige Anwendungen beispielsweise, dass die Daten zwischen Anwendung und den Anlagen abgefangen und manipuliert werden. Dadurch könnte ein Ingenieur über den Zustand einer Maschine getäuscht werden. Andere Lecks erlaubten das Aufspielen von bösartigen Codes auf dem Mobilgerät oder dem Zielserver. So können Hacker ebenfalls Befehle an verwaltete System schicken. Es ist auch möglich, dass eine App physischen oder virtuellen Zugriff auf die Daten des Gerätes erlaubt.

Mit einem gewissen Verständnis über die Systeme ist es für einen Angreifer damit ein leichtes, für erhebliche Schäden oder Ausfälle zu sorgen. Allerdings sind natürlich nicht alle Lecks gleichermaßen riskant. Denn einige Hersteller haben verschiedene Schutzmechanismen eingebaut und Anwender sorgen mit anderen Mitteln für Ausfallsicherheit, über die sich die Risiken minimieren lassen. Darüber hinaus sind die Informationen in den Apps natürlich nicht die einzigen Datenquellen für die Steuerung von Systemen.

Ungeprüft sei jedoch, ob die Lecks bereits ausgenutzt werden. Auch hätten die Forscher im Vorfeld ihrer Veröffentlichung verschiedene Entwickler der Apps bereits kontaktiert und in einigen Fällen wurden die Lecks bereits behoben. Einige der Anbieter aber hätten bislang nicht reagiert, so die beiden Forscher in einer Mitteilung. Diese Untersuchungen starteten die beiden Forscher schon 2015. Damals wurden 20 mobile Anwendungen untersucht, die mit industriellen Steuerungen und Hardware zusammenarbeiteten.

Seit der ersten Untersuchung habe sich in der Branche viel getan. Immer mehr IoT-Systeme stehen zur Verfügung, auch die Cloud als Möglichkeit, eine industrielle Anwendung zu steuern sei heute kein Tabu mehr. Und natürlich ist die Zahl der entsprechenden Anwendungen seitdem stark angestiegen.

Die mobilen Anwendungen verbinden sich über Internet, VPN, oder private Netzwerke mit den Systemen. „Typischerweise erlauben solche mobilen Anwendungen nur das Überwachen eines industriellen Prozesses. Aber einige Anwendungen ermöglichen es auch, Prozesse zu kontrollieren oder zu überwachen, darunter remote SCADA- oder MES-Clients sowie Anwendungen für Benachrichtigungen“, teilen die Forscher in einem Blog zu ihren Entdeckungen mit. Das sei eben auch gefährlich, weil die Geräte, anders als die eigentlichen Steuerungssysteme, nicht in einer isolierten Umgebung vorgehalten werden, sondern sehr leicht über das Internet oder auf andere Weise angegriffen werden könnten.