Zwei Universitätsstudenten sagten, sie hätten Anfang des Jahres eine Sicherheitslücke entdeckt und gemeldet, die es jedem ermöglichte, die Bezahlung der Wäsche zu umgehen, die von über einer Million mit dem Internet verbundenen Waschmaschinen in Wohnheimen und Universitätsgeländen auf der ganzen Welt bereitgestellt wird.
Monate später ist die Schwachstelle immer noch offen, nachdem der Anbieter CSC ServiceWorks wiederholt Anfragen zur Behebung der Schwachstelle ignoriert hat.
Die UC Santa Cruz-Studenten Alexander Sherbrooke und Iakov Taranenko sagten gegenüber Tech, dass die von ihnen entdeckte Schwachstelle es jedem ermöglicht, aus der Ferne Befehle an von CSC betriebene Waschmaschinen zu senden und Wäschezyklen kostenlos zu betreiben.
Sherbrooke sagte, er habe eines Januarmorgens in den frühen Morgenstunden mit seinem Laptop in der Hand auf dem Boden seiner Waschküche im Keller gesessen und „plötzlich einen ‚Oh s-‘-Moment gehabt.“ Von seinem Laptop aus führte Sherbrooke ein Codeskript mit Anweisungen aus, die die Maschine vor ihm anwiesen, einen Waschgang zu starten, obwohl sein Wäschereikonto 0 $ betrug. Die Maschine wachte sofort mit einem lauten Piepton auf und blinkte „PUSH START“ auf dem Display, um anzuzeigen, dass die Maschine bereit war, eine kostenlose Ladung Wäsche zu waschen.
In einem anderen Fall zahlten die Studenten angeblich mehrere Millionen Dollar auf eines ihrer Wäschereikonten ein, was sich in ihrem Konto widerspiegelte CSC Go-Mobile-App als ob es ein ganz normaler Geldbetrag wäre, den ein Student für die Wäsche ausgibt.
CSC ServiceWorks ist ein großes Wäschereidienstleistungsunternehmen. ein Netzwerk anpreisen von über einer Million Waschmaschinen, die in Hotels, Universitätsgeländen und Wohnheimen in den Vereinigten Staaten, Kanada und Europa installiert sind.
Da CSC ServiceWorks über keine eigene Sicherheitsseite für die Meldung von Sicherheitslücken verfügt, schickten Sherbrooke und Taranenko dem Unternehmen im Januar mehrere Nachrichten über sein Online-Kontaktformular, erhielten jedoch keine Antwort vom Unternehmen. Auch ein Anruf bei der Firma habe zu keinem Ergebnis geführt, hieß es.
Die Studenten schickten ihre Ergebnisse auch an das CERT Coordination Center der Carnegie Mellon University, das Sicherheitsforscher dabei unterstützt, Schwachstellen gegenüber betroffenen Anbietern offenzulegen und der Öffentlichkeit Korrekturen und Anleitungen bereitzustellen.
Die Studenten geben nun mehr über ihre Ergebnisse preis, nachdem sie länger als die üblichen drei Monate gewartet haben, die Sicherheitsforscher normalerweise Anbietern gewähren, um Schwachstellen zu beheben, bevor sie an die Öffentlichkeit gehen. Das Paar gab seine Forschungsergebnisse zunächst in einer Präsentation bei ihm bekannt Cybersicherheitsclub der Universität Anfang Mai.
Es ist unklar, wer, wenn überhaupt, für die Cybersicherheit bei CSC verantwortlich ist, und Vertreter von CSC reagierten nicht auf die Anfragen von Tech nach Kommentaren.
Die studentischen Forscher sagten, die Schwachstelle liege in der API, die von der mobilen App des CSC verwendet wird. CSC Go. Eine API ermöglicht es Apps und Geräten, über das Internet miteinander zu kommunizieren. In diesem Fall öffnet der Kunde die CSC Go-App, um sein Konto mit Guthaben aufzuladen, zu bezahlen und mit der Wäscheladung an einer Maschine in der Nähe zu beginnen.
Sherbrooke und Taranenko entdeckten, dass die Server von CSC dazu verleitet werden können, Befehle zu akzeptieren, die ihren Kontostand ändern, da alle Sicherheitsüberprüfungen von der App auf dem Gerät des Benutzers durchgeführt werden und die Server von CSC automatisch als vertrauenswürdig gelten. Dies ermöglicht es ihnen, die Wäsche zu bezahlen, ohne tatsächlich Geld auf ihr Konto einzuzahlen.
Durch die Analyse des Netzwerkverkehrs während der Anmeldung und Verwendung der CSC Go-App stellten Sherbrooke und Taranenko fest, dass sie die Sicherheitsprüfungen der App umgehen und Befehle direkt an die Server von CSC senden konnten, die über die App selbst nicht verfügbar sind.
Technologieanbieter wie CSC sind letztendlich dafür verantwortlich, sicherzustellen, dass ihre Server die richtigen Sicherheitsprüfungen durchführen. Andernfalls ist es so, als ob ein Banktresor von einem Wachmann geschützt wird, der sich nicht die Mühe macht, zu überprüfen, wer Zutritt hat.
Die Forscher sagten, dass potenziell jeder ein CSC Go-Benutzerkonto erstellen und Befehle über die API senden kann, da die Server auch nicht prüfen, ob neue Benutzer ihre E-Mail-Adressen besitzen. Die Forscher testeten dies, indem sie ein neues CSC-Konto mit einer erfundenen E-Mail-Adresse erstellten.
Mit direktem Zugriff auf die API und referenzierenden CSCs eigene veröffentlichte Liste von Befehlen für die Kommunikation mit seinen ServernLaut den Forschern sei es möglich, „jede Waschmaschine im CSC ServiceWorks-Netzwerk“ aus der Ferne zu lokalisieren und mit ihr zu interagieren.
Praktisch gesehen hat die kostenlose Wäscherei einen offensichtlichen Vorteil. Die Forscher betonten jedoch die potenziellen Gefahren, wenn Hochleistungsgeräte mit dem Internet verbunden und anfällig für Angriffe sind. Sherbrooke und Taranenko sagten, sie wüssten nicht, ob das Senden von Befehlen über die API die Sicherheitsbeschränkungen moderner Wäschereimaschinen umgehen könne, um Überhitzung und Brände zu verhindern. Die Forscher sagten, jemand müsste den Startknopf der Waschmaschine drücken, um einen Zyklus zu starten. Bis dahin können die Einstellungen an der Vorderseite der Waschmaschine nicht geändert werden, es sei denn, jemand setzt die Maschine zurück.
CSC hat den Kontostand der Forscher in Höhe von mehreren Millionen Dollar stillschweigend gelöscht, nachdem sie ihre Ergebnisse gemeldet hatten. Die Forscher sagten jedoch, dass der Fehler weiterhin nicht behoben sei und es den Benutzern immer noch möglich sei, sich „frei“ einen beliebigen Geldbetrag zu geben.
Taranenko sagte, er sei enttäuscht darüber, dass CSC ihre Verwundbarkeit nicht anerkannt habe.
„Ich verstehe einfach nicht, wie ein so großes Unternehmen solche Fehler macht und dann keine Möglichkeit hat, mit ihnen Kontakt aufzunehmen“, sagte er. „Im schlimmsten Fall können die Leute leicht ihr Portemonnaie überladen und das Unternehmen verliert eine Menge Geld. Warum nicht für so eine Situation das Nötigste ausgeben, um einen einzigen überwachten Sicherheits-E-Mail-Posteingang zu haben?“
Die Forscher lassen sich jedoch von der mangelnden Reaktion des CSC nicht abschrecken.
„Da wir dies in gutem Glauben tun, macht es mir nichts aus, ein paar Stunden in der Warteschleife zu verbringen, um ihren Helpdesk anzurufen, wenn es einem Unternehmen bei seinen Sicherheitsproblemen helfen würde“, sagte Taranenko und fügte hinzu, dass es „Spaß gemacht“ habe Sie können diese Art von Sicherheitsforschung in der realen Welt durchführen und nicht nur in simulierten Wettbewerben.“