加州大学圣克鲁兹分校的两名学生研究员亚历山大-舍布鲁克(Alexander Sherbrooke)和伊科夫-塔拉嫩科(Iakov Taranenko)发现了一个安全漏洞,该漏洞使 CSC ServiceWorks 运营的 100 多万台洗衣机面临免费赠送洗衣服务的风险。
通常情况下,想要使用该公司服务的人需要在手机上安装 CSC Go 应用程序,加载余额,然后在附近的洗衣机上开始洗衣循环。任何具备必要知识的人都可以利用这个漏洞,通过远程向这家拥有 90 年历史的公司在美国、加拿大和欧洲的住宅、酒店和大学校园里运营的联网洗衣机发送指令,获得免费洗衣服务。
事情要从今年 1 月初说起,当时 Sherbrooke 正带着笔记本电脑坐在地下室的洗衣房里。在账户中没有余额的情况下,他尝试运行一个代码脚本,命令面前的洗衣机运行一个洗衣周期,结果成功了。此外,学生们还在自己的一个洗衣账户中添加了数百万美元,这些钱也出现在了 CSC Mobile Go 应用程序中。
据这两名学生称,该公司仍对漏洞的存在和修复要求一无所知。1 月初,他们试图通过多种渠道联系 CSC ServiceWorks,如通过在线联系表单发送多条信息和拨打电话,但均无人接听。
该公司没有专门的安全页面来报告安全漏洞。虽然 CSC ServiceWorks 没有回应学生研究人员,但在他们报告发现后,CSC ServiceWorks 删除了大量账户余额。不过,该漏洞仍未修复,他们可以增加任何金额。目前尚不清楚该公司是否正在进行内部修复。
根据两人的说法,该漏洞存在于移动应用程序使用的 API 中,该 API 可帮助设备和应用程序通过互联网相互通信。他们发现,他们可以直接向 CSC 的服务器发送命令,从而躲过应用程序的安全检查。
学生研究人员告诉本刊,通过直接访问 API 和公司公布的服务器命令公开列表,他们可以找到"CSC ServiceWorks 连接网络上的每一台洗衣机"并与之交互。
安全研究人员通常要等三个月才会公开他们的研究成果。这对学生说,他们等得更久,本月初在大学网络安全俱乐部展示了他们的发现。他们还与卡内基梅隆大学的 CERT 协调中心分享了他们的发现,该中心提供指导并帮助安全研究人员向供应商披露漏洞。