加州大學聖克魯茲分校的兩名學生研究員亞歷山大-舍布魯克(Alexander Sherbrooke)和伊科夫-塔拉嫩科(Iakov Taranenko)發現了一個安全漏洞,該漏洞使 CSC ServiceWorks 運營的 100 多萬台洗衣機面臨免費贈送洗衣服務的風險。
通常情況下,想要使用該公司服務的人需要在手機上安裝 CSC Go 應用程序,載入餘額,然後在附近的洗衣機上開始洗衣循環。任何具備必要知識的人都可以利用這個漏洞,通過遠程向這家擁有 90 年歷史的公司在美國、加拿大和歐洲的住宅、酒店和大學校園裡運營的聯網洗衣機發送指令,獲得免費洗衣服務。
事情要從今年 1 月初說起,當時 Sherbrooke 正帶著筆記本電腦坐在地下室的洗衣房裡。在賬戶中沒有餘額的情況下,他嘗試運行一個代碼腳本,命令面前的洗衣機運行一個洗衣周期,結果成功了。此外,學生們還在自己的一個洗衣賬戶中添加了數百萬美元,這些錢也出現在了 CSC Mobile Go 應用程序中。
據這兩名學生稱,該公司仍對漏洞的存在和修復要求一無所知。1 月初,他們試圖通過多種渠道聯繫 CSC ServiceWorks,如通過在線聯繫表單發送多條信息和撥打電話,但均無人接聽。
該公司沒有專門的安全頁面來報告安全漏洞。雖然 CSC ServiceWorks 沒有回應學生研究人員,但在他們報告發現後,CSC ServiceWorks 刪除了大量賬戶餘額。不過,該漏洞仍未修復,他們可以增加任何金額。目前尚不清楚該公司是否正在進行內部修復。
根據兩人的說法,該漏洞存在於移動應用程序使用的 API 中,該 API 可幫助設備和應用程序通過互聯網相互通信。他們發現,他們可以直接向 CSC 的伺服器發送命令,從而躲過應用程序的安全檢查。
學生研究人員告訴本刊,通過直接訪問 API 和公司公布的伺服器命令公開列表,他們可以找到"CSC ServiceWorks 連接網路上的每一台洗衣機"並與之交互。
安全研究人員通常要等三個月才會公開他們的研究成果。這對學生說,他們等得更久,本月初在大學網路安全俱樂部展示了他們的發現。他們還與卡內基梅隆大學的 CERT 協調中心分享了他們的發現,該中心提供指導並幫助安全研究人員向供應商披露漏洞。
