兩名大學生表示,他們今年早些時候發現並報告了一個安全漏洞,使得任何人都可以免費使用超過一百萬台互聯網連接的洗衣機提供的洗衣服務。
供應商CSC ServiceWorks多次忽略了修復這個漏洞的請求。
發表後,CSC向TechCrunch提供了一份聲明,對未能及時回應表示歉意並感謝學生們報告了他們的發現。 CSC補充說,他們“正在投資幾個將使我們成為一個更強大組織和更具安全彈性的倡議。”
UC聖塔克魯茲分校的學生亞歷山大·謝爾布魯克和雅科夫·塔蘭科告訴TechCrunch,他們發現的漏洞允許任何人遠程發送命令給由CSC運行的洗衣機,免費操作洗衣週期。
謝爾布魯克說,今年一月的一個清晨,他坐在地下室的洗衣房裡,手裡拿著筆記本電腦,突然“發生了一個‘噢s—’的時刻。” 從筆記本電腦上,謝爾布魯克運行了一段代碼腳本,其中包含指令,告訴他面前的洗衣機開始一個洗衣週期,儘管他的洗衣戶口中沒有任何錢。 這台機器立即發出響亮的嗶聲,並在顯示屏上閃爍著“按下啟動”字樣,表明機器已經準備好免費清洗一次衣物。
在另一個案例中,學生們向他們的一個洗衣戶口添加了幾百萬美元的虛擬餘額,這在他們的CSC Go手機應用程式中顯示為一個學生可能在洗衣上花費的完全正常的金額。
CSC ServiceWorks是一家大型的洗衣服務公司,以在美國、加拿大和歐洲的酒店、大學校園和住宅中安裝的超過一百萬台洗衣機聞名。
由於CSC ServiceWorks缺乏專門用於報告安全漏洞的頁面,謝爾布魯克和塔蘭科在一月份通過公司的在線聯繫表格發送了幾條消息給該公司,但始終未收到回應。 他們說,致電公司也沒有取得任何進展。 學生們還將他們的發現發送給了卡內基梅隆大學的CERT協調中心,該中心幫助安全研究人員向受影響的供應商披露漏洞,並為公眾提供修復和指引。
學生們現在在等待了比安全研究人員通常在公開前允許供應商修復漏洞的三個月更長的時間後,更多地分享了他們的發現。這對學生們在五月初首次在他們的大學網絡安全俱樂部的演示中披露了他們的研究。
在發表本文前,尚不清楚誰在CSC負責網絡安全,而CSC的代表在TechCrunch發布本文前對該報社的請求沒有作出回應。
本文發表幾天後,CSC發表聲明感謝這些安全研究人員。CSC營銷副總裁史蒂芬·吉爾伯特表示:“我們要感謝謝爾布魯克先生和塔蘭科先生對於使像CSC ServiceWorks這樣的公司及其持有者更安全所做的貢獻。我們對未及時回應他們表示道歉。”
CSC表示,該公司“與我們的供應商密切合作來解決這個問題”,並且CSC還將更新其網站,包括一個安全報告表單,該表單使公司能夠“立即查看並解決公眾提出的安全問題。”
學生研究人員表示,他們在CSC的移動應用程式CSC Go中發現了這個漏洞的API。API允許應用程式和設備通過互聯網相互通信。在這種情況下,客戶打開CSC Go應用程式將賬戶充值,支付並開始在附近的機器上洗衣。
謝爾布魯克和塔蘭科發現,CSC的服務器可以被欺騙接受修改其賬戶餘額的命令,因為任何安全檢查都是由用戶設備上的應用程式執行的,並被CSC的服務器自動信任。這使他們能夠在賬戶中支付洗衣費用而不需要真正放入資金。
通過分析在登錄並使用CSC Go應用程式時的網絡流量,謝爾布魯克和塔蘭科發現他們可以繞過應用程式的安全檢查並直接向CSC的服務器發送命令,這在應用程式本身是無法實現的。
像CSC這樣的技術供應商最終負責確保其服務器進行正確的安全檢查;否則,這就像一個被一個不擔心檢查誰可以進入的警衛守護的銀行保險箱。
研究人員表示,潛在地任何人都可以創建CSC Go用戶帳戶並使用API發送命令,因為服務器也不檢查新用戶是否擁有其電子郵件地址。研究人員通過使用虛構的電子郵件地址創建新的CSC帳戶來測試這一點。
通過直接訪問API並參考CSC發布的用於與其服務器通信的命令列表,研究人員表示可以遠程定位和匯聚“CSC ServiceWorks連接網絡上的每一台洗衣機”。
實際上,免費洗衣具有明顯的優勢。但研究人員強調了將重型家用電器連接到互聯網並容易受到攻擊的潛在危險。謝爾布魯克和塔蘭科表示,他們不知道通過API發送命令是否可以繞過現代洗衣機的安全限制,以防止過熱和火災。 研究人員說,除非有人物理地按下洗衣機的啟動按鈕來開始週期;在此之前,前置的洗衣機面板設置不會更改,除非有人重置機器。
在他們報告發現後,CSC悄悄清除了研究人員的幾百萬美元帳戶餘額,但研究人員表示,用戶仍然可以“自由”給自己任何金額的錢。
塔蘭科說他對CSC未承認他們的脆弱性感到失望。
“我只是不明白一家如此大的公司如何會犯這種類型的錯誤,然後完全無法聯繫他們,”他說。“最糟糕的情況下,人們可以輕易地為自己的錢包裝滿錢,公司損失大筆資金。為什麼不花一點成本來設置一個監控的安全郵箱來處理這種情況?”
但研究人員對CSC的缺乏回應沒有退縮。
“由於我們是好心做這件事,所以我不介意花幾個小時等待打電話給他們的客服台,如果這有助於一家公司處理其安全問題,”塔蘭科表示,這樣做“很有趣,因為能夠在現實世界中進行這種類型的安全研究,而不僅僅是在模擬比賽中。”
5月22日更新,加入了發布後CSC的評論。