SŁABE PUNKTY TYPU M1 I M2

Kategoria M1 obejmuje niewłaściwe użycie funkcji platformy mobilnej lub niekorzystanie z dostępnych zabezpieczeń. Specjaliści Embedi i IOActive odkryli pięć tego typu przypadków. Cztery wynikały z korzystania z przestarzałych, podatnych na ataki bibliotek uruchomieniowych. Piąty polegał na nieprawidłowych ustawieniach w pliku konfiguracyjnym aplikacji.

Przez to każdy inny program działający na urządzeniu mógł odczytywać i zmieniać informacje zapisane w jej bazie danych. Zapewniało to swobodny dostęp do danych uwierzytelniających i ustawień, na przykład do konfiguracji połączenia z serwerem. Umożliwiało to złośliwej aplikacji jego przekierowanie przez zmianę adresu serwera właściwego na adres serwera podszywającego się pod niego.

Do kategorii M2 zalicza się brak ochrony danych oraz ich niezamierzone wycieki. Luka wystąpiła w prawie połowie przetestowanych aplikacji mobilnych (47%), które zapisywały dane na karcie SD albo w pamięci wirtualnej, dziedzicząc przez to słabości systemów plików tych nośników, jak brak implementacji list kontroli dostępu czy mechanizmów uprawnień.

Dlatego aplikacja z prawem do odczytu i zapisu danych na karcie SD miała jednocześnie dostęp do danych zapisywanych na niej przez inne programy. Ponadto, w razie pozostawienia urządzenia bez opieki, kartę pamięci można niepostrzeżenie skopiować albo zmodyfikować informacje na niej zapisane.

Przykłady bezpłatnych aplikacji mobilnych dla przemysłu w Google Play
SEW Diagnostics Zapewnia wsparcie serwisantom przemienników częstotliwości marki SEW w zakresie szybkiej diagnostyki błędów tych urządzeń.	easyRemote Display Służy do sterowania przekaźnikami programowalnymi z serii easy800 za pomocą smartfonu. Aplikacja firmy Eaton.	Danfoss Trouble Shooter Aplikacja firmy Danfoss ułatwia diagnozowanie problemów w funkcjonowaniu systemów chłodniczych.	Pro-face Remote HMI Aplikacja od firmy Schneider Electric zapewnia zdalny dostęp do HMI.