[分享]无限充值、免费使用洗衣机,两名大学生披露洗衣服务中的安全漏洞
发表于:
2024-5-21 18:43
3824
[分享]无限充值、免费使用洗衣机,两名大学生披露洗衣服务中的安全漏洞
近日,加州大学圣克鲁斯分校的两名大学生发现了一个影响全球的CSC ServiceWorks洗衣房服务的漏洞,攻击者可以利用这个漏洞远程发送命令给洗衣机,实现免费洗衣。 他们已向供应商报告了这一漏洞,但该公司并未进行修复。
据了解,CSC ServiceWorks是一家为全球住户提供互联网连接洗衣服务的公司,在美国、加拿大、欧洲等的酒店、大学以及家宅中安装了超过一百万台洗衣机。
漏洞发现者Alexander Sherbrooke和Iakov Taranenko称,该漏洞存在于CSC的移动应用CSC Go使用的API中,该API允许CSC GO应用程序与洗衣机通过互联网进行通信。通过分析使用CSC GO应用时的网络流量,他们发现可以绕过应用程序中的安全检查,并直接发送命令给服务器。
Alexander Sherbrooke通过利用这个漏洞,成功编写了能够在CSC ServiceWorks洗衣服务账户余额为0的情况下运行洗衣机的代码。通过访问API并参考CSC自己发布的与服务器通信的命令列表,便能够远程定位并与“CSC ServiceWorks连接网络上的每台洗衣机”互动。与此同时,这一漏洞还可被用来向CSC ServiceWorks洗衣服务账户充值任意金额。
他们补充说,实际上任何人都可以创建一个CSC Go用户账户,并使用API发送命令,然后实施这些攻击,因为服务器甚至都没有检查新用户是否拥有真实的电子邮件地址——他们随意虚构一个电子邮件地址便成功进行了攻击测试。
Alexander Sherbrooke和Iakov Taranenko在发现这一漏洞后尝试向CSC ServiceWorks报告,但该公司没有专门用于报告安全漏洞的页面,因此他们又通过该公司的在线联系表格多次尝试联系该公司报告漏洞。然而,由于一直未有收到对方的任何回应,两人之后又试图直接致电CSC ServiceWorks,但电话也未能接通。最终,他们是通过卡内基梅隆大学的CERT协调中心向CSC ServiceWorks报告了该漏洞。
在这两名大学生报告他们的发现后,CSC ServiceWorks悄悄清空了他们账户中攻击测试时充值的数百万美元余额,但二人表示,该公司迄今仍未修复该漏洞,用户仍可以任意为自己充值金额。
Iakov Taranenko对CSC没有承认漏洞感到失望,他说:“我不明白为什么这样一个大公司会犯这样一个错误,甚至都没有提供联系他们解决问题的途径。最糟糕的情况是,公司会因账户未经授权的充值而蒙受巨大损失。为什么都不至少以最低成本建立一个安全电子邮件收件箱来处理这种情况呢?”
编辑:左右里
资讯来源:techcrunch
转载请注明出处和本文链接
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!