Die Apps von Siemens dienen zur Steuerung von Industrieanlagen (das zu steuerndeSCADA-System WinCC wird u.a. auch in Atomkraftwerken verwendet) – und wiesen einige Sicherheitslücken auf: so konnte das Passwort welches beim Start der Apps abgefragt wurde aus dem Gerät extrahiert werden, ebenfalls die Zugangsdaten zum Sm@rtServer mit welchem die App verbindet:
Vulnerability 1 (CVE-2014-5231)
The existing storage mechanism for the application specific password could allow
attackers to extract the password and gain access to the application if local access is
available.
CVSS Base Score 4.6
CVSS Temporal Score 3.6
CVSS Overall Score 3.6 (AV:L/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:OF/RC:C)
Vulnerability 2 (CVE-2014-5232)
In case an application specific password is set, the user would not be prompted to enter
the password if the App was resumed from the background.
CVSS Base Score 4.6
CVSS Temporal Score 3.6
CVSS Overall Score 3.6 (AV:L/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:OF/RC:C)
Vulnerability 3 (CVE-2014-5233)
The implemented mechanism to process Sm@rtServer credentials could allow attackers
to extract the credentials if local access is available.
CVSS Base Score 4.6
CVSS Temporal Score 3.6
CVSS Overall Score 3.6 (AV:L/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:OF/RC:C) Siemens Security Advisory by Siemens ProductCERT
Mitigating factors:
Attackers can only take advantage of the above mentioned vulnerabilities if they have
local access to the mobile device running the affected Apps.
Im App Store ist inzwischen eine neuere Version verfügbar.
Zerberos prüft Ihre Apps oder von Ihnen eingesetzte Apps von Drittanbietern auf Sicherheit – kontaktieren Sie uns für weitere Informationen!