安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用

2024年05月18日17:45:13 科技 1491

加州大学圣克鲁兹分校的两名学生研究员亚历山大-舍布鲁克(Alexander Sherbrooke)和伊科夫-塔拉嫩科(Iakov Taranenko)发现了一个安全漏洞,该漏洞使 CSC ServiceWorks 运营的 100 多万台洗衣机面临免费赠送洗衣服务的风险。

安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用 - 天天要闻

通常情况下,想要使用该公司服务的人需要在手机上安装 CSC Go 应用程序,加载余额,然后在附近的洗衣机上开始洗衣循环。任何具备必要知识的人都可以利用这个漏洞,通过远程向这家拥有 90 年历史的公司在美国、加拿大和欧洲的住宅、酒店和大学校园里运营的联网洗衣机发送指令,获得免费洗衣服务。

事情要从今年 1 月初说起,当时 Sherbrooke 正带着笔记本电脑坐在地下室的洗衣房里。在账户中没有余额的情况下,他尝试运行一个代码脚本,命令面前的洗衣机运行一个洗衣周期,结果成功了。此外,学生们还在自己的一个洗衣账户中添加了数百万美元,这些钱也出现在了 CSC Mobile Go 应用程序中。

据这两名学生称,该公司仍对漏洞的存在和修复要求一无所知。1 月初,他们试图通过多种渠道联系 CSC ServiceWorks,如通过在线联系表单发送多条信息和拨打电话,但均无人接听。

该公司没有专门的安全页面来报告安全漏洞。虽然 CSC ServiceWorks 没有回应学生研究人员,但在他们报告发现后,CSC ServiceWorks 删除了大量账户余额。不过,该漏洞仍未修复,他们可以增加任何金额。目前尚不清楚该公司是否正在进行内部修复。

根据两人的说法,该漏洞存在于移动应用程序使用的 API 中,该 API 可帮助设备和应用程序通过互联网相互通信。他们发现,他们可以直接向 CSC 的服务器发送命令,从而躲过应用程序的安全检查。

学生研究人员告诉本刊,通过直接访问 API 和公司公布的服务器命令公开列表,他们可以找到"CSC ServiceWorks 连接网络上的每一台洗衣机"并与之交互。

安全研究人员通常要等三个月才会公开他们的研究成果。这对学生说,他们等得更久,本月初在大学网络安全俱乐部展示了他们的发现。他们还与卡内基梅隆大学的 CERT 协调中心分享了他们的发现,该中心提供指导并帮助安全研究人员向供应商披露漏洞。

科技分类资讯推荐

群体沉迷色情,全因马斯克?评论区不忍直视,笑掉大牙 - 天天要闻

群体沉迷色情,全因马斯克?评论区不忍直视,笑掉大牙

近日,一则新闻让人感到吃惊,一个长期生活在亚马逊雨林深处的原始部落沉浸在互联网中,他们整天所痴迷的并不是求知,也不是直播,而是网络色情!在这个部落里,互联网成为了一种新兴的稀罕物,因为在去年9月突然之间就联网了,网络让这里的人感到前所未有的
外媒评特斯拉上线百度地图V20:缓解中国对数据安全担忧 - 天天要闻

外媒评特斯拉上线百度地图V20:缓解中国对数据安全担忧

导读:特斯拉最新版本OTA(空中下载技术)上线了城市车道级导航,同日百度地图官宣V20车道级导航现已全球首发特斯拉。(文/邓文静 编辑/高莘)6月7日,特斯拉最新版本OTA(空中下载技术)上线了城市车道级导航,同日百度地图官宣V20车道级导
最新消息!她已离职!曾凌晨发文道歉 - 天天要闻

最新消息!她已离职!曾凌晨发文道歉

本月初,百度副总裁璩静在短视频平台上发布的几条出镜视频引发网友关注,特别是其提到“员工闹分手提离职我秒批”等职场话题引发网友质疑,一度登上微博热搜。
淘宝取消“618”预售机制后,京东宣布“现货开卖” - 天天要闻

淘宝取消“618”预售机制后,京东宣布“现货开卖”

继5月7日天猫宣布取消“618”预售机制后,5月8日,京东也正式宣布“现货开卖”。今年京东618将于5月31日晚8点全面开启。据了解,现货开卖的同时,京东还将同步推出百亿补贴日活动。在6月2日、6月3日、6月8日,还将先后推出9.
细思极恐网络暴力和群殴 - 天天要闻

细思极恐网络暴力和群殴

互联网高速发展利用时代踏实做事和说实话的人都不被人待见,时时刻刻遭受网络暴力,声讨,群殴,格力电器董明珠,踏踏实实做企业,创税收,促进就业,,为国家为人民奉献大半辈子青春,心血, 汗水,本该退休安享晚年,侍弄儿孙遗憾找不到合适放心接班人,七