IOActiveのアドバイザリサービス担当ディレクターであるJason Larsen氏は米ZDNetに対して、「アーリーアダプターらは、ICSで通常期待されているような保守的かつ実績ある開発手法を採用せずに、モバイル分野で一般的となっている高速アプリケーション開発(RAD)と類似した考え方でアプリを構築している」と述べている。
研究者らによると、調査対象となったアプリの94%にはコードの改ざんを許す脆弱性が潜んでいるため、ルート化された機器を用いることで、アプリケーションの詳細を暴き出したうえで、ユーザーインタラクションをほとんど必要とせずに悪用できる可能性があるという。
また、調査対象アプリの59%は、セキュアでない認証という問題を抱えていることも明らかにされている。さらにそれらアプリのなかには、適切なユーザーが操作しているかどうかを確認するためのパスワードといった手段すら実装していないものもあったという。機器がパスワードによって保護されていない場合、攻撃者はユーザーの手元を離れている、あるいは盗まれた機器を物理的に操作したり、マルウェアを用いて遠隔地から操作したりできるため、大きな脅威がもたらされる可能性もある。
調査対象アプリの53%ではコードが難読化されておらず、リバースエンジニアリングできる状態になっているという問題も浮かび上がっている。これにより攻撃者は、アプリの内部動作を調査し、適用されているパッチと適用されていないパッチを見極められるようになる。
また、調査対象アプリの半分弱ほどで、セキュアでないデータストレージが発見された。これを悪用することで攻撃者は、SCADAシステム関連のアプリやデータにアクセスできるようになる。レポートには、攻撃者がシステムを混乱させたり、さらなる攻撃を実行に移すためのデータの改ざんが可能になると記されている。
とは言うものの多くのケースでは、特定の攻撃を実行に移すうえでスキルと、システムに関する知識が必要となるはずだ。
