安全漏洞讓CSC ServiceWorks的洗衣房服務可以無限免費用

2024年05月18日17:45:13 科技 1491

加州大學聖克魯茲分校的兩名學生研究員亞歷山大-舍布魯克(Alexander Sherbrooke)和伊科夫-塔拉嫩科(Iakov Taranenko)發現了一個安全漏洞,該漏洞使 CSC ServiceWorks 運營的 100 多萬台洗衣機面臨免費贈送洗衣服務的風險。

安全漏洞讓CSC ServiceWorks的洗衣房服務可以無限免費用 - 天天要聞

通常情況下,想要使用該公司服務的人需要在手機上安裝 CSC Go 應用程序,載入餘額,然後在附近的洗衣機上開始洗衣循環。任何具備必要知識的人都可以利用這個漏洞,通過遠程向這家擁有 90 年歷史的公司在美國、加拿大和歐洲的住宅、酒店和大學校園裡運營的聯網洗衣機發送指令,獲得免費洗衣服務。

事情要從今年 1 月初說起,當時 Sherbrooke 正帶著筆記本電腦坐在地下室的洗衣房裡。在賬戶中沒有餘額的情況下,他嘗試運行一個代碼腳本,命令面前的洗衣機運行一個洗衣周期,結果成功了。此外,學生們還在自己的一個洗衣賬戶中添加了數百萬美元,這些錢也出現在了 CSC Mobile Go 應用程序中。

據這兩名學生稱,該公司仍對漏洞的存在和修復要求一無所知。1 月初,他們試圖通過多種渠道聯繫 CSC ServiceWorks,如通過在線聯繫表單發送多條信息和撥打電話,但均無人接聽。

該公司沒有專門的安全頁面來報告安全漏洞。雖然 CSC ServiceWorks 沒有回應學生研究人員,但在他們報告發現後,CSC ServiceWorks 刪除了大量賬戶餘額。不過,該漏洞仍未修復,他們可以增加任何金額。目前尚不清楚該公司是否正在進行內部修復。

根據兩人的說法,該漏洞存在於移動應用程序使用的 API 中,該 API 可幫助設備和應用程序通過互聯網相互通信。他們發現,他們可以直接向 CSC 的伺服器發送命令,從而躲過應用程序的安全檢查。

學生研究人員告訴本刊,通過直接訪問 API 和公司公布的伺服器命令公開列表,他們可以找到"CSC ServiceWorks 連接網路上的每一台洗衣機"並與之交互。

安全研究人員通常要等三個月才會公開他們的研究成果。這對學生說,他們等得更久,本月初在大學網路安全俱樂部展示了他們的發現。他們還與卡內基梅隆大學的 CERT 協調中心分享了他們的發現,該中心提供指導並幫助安全研究人員向供應商披露漏洞。

科技分類資訊推薦

群體沉迷色情,全因馬斯克?評論區不忍直視,笑掉大牙 - 天天要聞

群體沉迷色情,全因馬斯克?評論區不忍直視,笑掉大牙

近日,一則新聞讓人感到吃驚,一個長期生活在亞馬遜雨林深處的原始部落沉浸在互聯網中,他們整天所痴迷的並不是求知,也不是直播,而是網路色情!在這個部落里,互聯網成為了一種新興的稀罕物,因為在去年9月突然之間就聯網了,網路讓這裡的人感到前所未有的
外媒評特斯拉上線百度地圖V20:緩解中國對數據安全擔憂 - 天天要聞

外媒評特斯拉上線百度地圖V20:緩解中國對數據安全擔憂

導讀:特斯拉最新版本OTA(空中下載技術)上線了城市車道級導航,同日百度地圖官宣V20車道級導航現已全球首發特斯拉。(文/鄧文靜 編輯/高莘)6月7日,特斯拉最新版本OTA(空中下載技術)上線了城市車道級導航,同日百度地圖官宣V20車道級導
最新消息!她已離職!曾凌晨發文道歉 - 天天要聞

最新消息!她已離職!曾凌晨發文道歉

本月初,百度副總裁璩靜在短視頻平台上發布的幾條出鏡視頻引髮網友關注,特別是其提到「員工鬧分手提離職我秒批」等職場話題引髮網友質疑,一度登上微博熱搜。
淘寶取消「618」預售機制後,京東宣布「現貨開賣」 - 天天要聞

淘寶取消「618」預售機制後,京東宣布「現貨開賣」

繼5月7日天貓宣布取消「618」預售機制後,5月8日,京東也正式宣布「現貨開賣」。今年京東618將於5月31日晚8點全面開啟。據了解,現貨開賣的同時,京東還將同步推出百億補貼日活動。在6月2日、6月3日、6月8日,還將先後推出9.
細思極恐網路暴力和群毆 - 天天要聞

細思極恐網路暴力和群毆

互聯網高速發展利用時代踏實做事和說實話的人都不被人待見,時時刻刻遭受網路暴力,聲討,群毆,格力電器董明珠,踏踏實實做企業,創稅收,促進就業,,為國家為人民奉獻大半輩子青春,心血, 汗水,本該退休安享晚年,侍弄兒孫遺憾找不到合適放心接班人,七