Schwachstellen in Fernsteuerungs-App für Industrieanlagen von Siemens geschlossen

Kraftwerke und Co. kann man inzwischen bequem per App fernsteuern. Ganz ungefährlich ist das offenbar jedoch nicht: Forscher fanden in den WinCC-Apps von Siemens haarsträubende Sicherheitslücken.

In Pocket speichern vorlesen Druckansicht 38 Kommentare lesen
Schwachstellen in Fernsteuerungs-App für Industrieanlagen von Siemens geschlossen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

App steuert Industrieanlage: Forscher haben in der Fernsteuerungs-App von Siemens Sicherheitsmängel entdeckt.

(Bild: Siemens)

Die iOS-Apps SIMATIC WinCC Sm@rtClient und Sm@rtClient Lite von Siemens sind bisher nachlässig mit den ihnen anvertrauten Zugangsdaten umgegangen (PDF), wie die Sicherheitsexperten von FortConsult herausgefunden haben.

So war es möglich, sowohl das Passwort, das beim Start der App abgefragt wird, als auch die Zugangsdaten zum Sm@rtServer zu extrahieren, wenn man Zugriff auf das iOS-Gerät hat. Zudem wurde das App-Passwort nicht abgefragt, wenn die App im Hintergrund war und wieder aktiviert wurde.

Es handelt sich dabei keineswegs um eine Lappalie: Die Apps dienen der Fernsteuerung von Industrieanlagen, die mit dem SCADA-System WinCC betrieben werden. WinCC kommt unter anderem in deutschen Atomkraftwerken zum Einsatz.

Gelingt es einem Angreifer, die Kontrolle zu übernehmen, kann dies verheerende Folgen haben – selbst, wenn es sich dabei um kleinere Anlagen handelt. Abhhilfe schafft die Version 1.0.2 von Sm@rtClient und Sm@rtClient Lite, die im App Store zum Download bereitsteht. (rei)