Миллионы «умных» стиральных машин CSC ServiceWorks уязвимы для взлома
Студенты из Калифорнийского университета (Санта-Круз) выявили критическую уязвимость в системе управления умными стиральными машинами компании CSC ServiceWorks — она позволяет пользователям бесплатно пользоваться устройствами и пополнять счета на миллионы фальшивых долларов.
Александр Шербрук и Яков Тараненко обнаружили, что мобильное приложение CSC Go, предназначенное для управления стиральными машинами, имеет серьезные проблемы с безопасностью: оно позволяет пользователям пополнять баланс и управлять стиркой, но серверная часть сервиса принимает любые команды, отправленные в обход приложения, игнорируя отсутствие средств на счету.
Несмотря на попытки студентов связаться с CSC ServiceWorks и сообщить о проблеме, компания игнорировала все обращения. На сайте CSC отсутствуют формы для отправки багрепортов, а электронные письма и звонки остались без ответа.
CSC ServiceWorks управляет более чем миллионом умных стиральных машин в гостиницах, университетских кампусах и жилых домах в США, Канаде и Европе. Уязвимость позволяет пользователям не только запускать стиральные машины бесплатно, но и пополнять внутренний кошелек на абсурдно большие суммы без реальных затрат.
На данный момент неизвестно, позволит ли уязвимость удаленно запускать стиральные машины без нажатия физической кнопки «Старт» на панели устройства. Если брешь позволяет обойти встроенные системы защиты от перегрева и возгорания, это может привести к катастрофическим последствиям.
Студенты подтвердили экспериментально, что сервер принимает команды без верификации. В теории, любой может создать учетную запись CSC Go и управлять стиральными машинами через API, не подтверждая даже адрес электронной почты. Несмотря на игнорирование со стороны CSC ServiceWorks, Шербрук и Тараненко продолжают свои попытки добиться исправления уязвимости.
Как стать хакером: