Взломанные стиральные машины стирают вещи бесплатно

18 мая 2024, 20:03 / Технологии → Новости / Технологии

В январе два студента из Калифорнийского университета в Санта-Крус обнаружили способ заставить стиральные машины, подключенные к Интернету, принадлежащие и управляемые CSC ServiceWorks, обеспечивать практически неограниченное количество циклов стирки бесплатно. Александр Шербрук и Яков Тараненко запустили собственный скрипт через мобильное приложение CSC и обошли проверки безопасности на серверах.

Сейчас все подключено к Интернету. Не так давно один пользователь обнаружил, что его стиральная машина LG ежедневно отправляет гигабайты данных. Стиральные машины CSC, подключенные к Интернету, требуют, чтобы пользователи загрузили приложение, создали учетную запись и добавили средства, чтобы позволить этим пользователям выполнять циклы стирки. Студенты обнаружили уязвимость в безопасности приложения, из-за которой серверы разрешали циклы стирки для подключенных учетных записей, даже если на этих учетных записях не было средств. Студенты также могли пополнить один из своих счетов кредитами на сумму несколько миллионов долларов, что отражено в их мобильном приложении CSC Go.

CSC ServiceWorks — крупная компания, работающая в США, Канаде и Европе. Она обслуживает многочисленные многоквартирные жилые комплексы, заправочные станции, магазины повседневного спроса, жителей, отели, курорты, прачечные самообслуживания, колледжи и университеты. Несмотря на такую обширную сеть, у CSC ServiceWorks не было страницы, на которой можно было бы сообщать об ошибках безопасности. Шербрук и Тараненко связались с компанией через контактную онлайн-форму в январе и поговорили со службой поддержки, но не получили никакого ответа.

В конечном итоге студенты представили свои результаты в Координационный центр CERT Университета Карнеги-Меллон. Прождав более трех месяцев, пара опубликовала свой отчет в своем клубе кибербезопасности в мае. По словам студентов, CSC в конечном итоге удалила кредиты с их счетов, но не исправила эту уязвимость.

Однако бесплатные циклы стирки для злоумышленника — не самая главная проблема. Студенты заявили, что дефектный API может обойти ограничения безопасности, потенциально создавая опасность пожара. Если не исправить уязвимость, то это всего лишь вопрос времени, когда злоумышленники расшифруют сценарий Шербрука и Тараненко, чтобы воспользоваться этой уязвимостью.