Два студента Калифорнийского университета в Санта-Круце обнаружили уязвимость в мобильном приложении CSC GO Laundry, используемом для управления прачечными автоматами сети CSC ServiceWorks. Уязвимость позволяет бесплатно использовать стиральные машины неограниченное количество раз. Об этом сообщает издание TechCrunch.
Пользователи, желающие воспользоваться услугами стирки, должны установить приложение CSC Go на свой смартфон, пополнить баланс и запустить цикл стирки на стиральной машине CSC ServiceWork. Компания CSC ServiceWorks предлагает сервис стирки в жилых домах, отелях и кампусах колледжей в США, Канаде и Европе уже более 90 лет.
Уязвимость была обнаружена в январе этого года, когда один из студентов, Александр Шербрук, попытался запустить скрипт, который позволял стиральной машине удаленно активировать новый цикл стирки, и это сработало. Кроме того, студенты смогли изменить с помощью скрипта баланс до миллиона долларов на одном из своих аккаунтов в приложении CSC Mobile Go.
По словам студентов, компания CSC ServiceWorks по-прежнему игнорирует существование этой уязвимости и отвергает запросы на необходимость ее исправления. Уязвимость существует в API, используемом мобильным приложением, и позволяет взаимодействовать практически с каждой стиральной машиной в сети, используя прямой доступ к API и общедоступный список серверных команд.
Студенты передали отчет по инциденту в Координационный центр CERT при Университете Карнеги-Меллона, который предоставляет рекомендации и помогает исследователям безопасности передавать данные по багам и раскрывать уязвимости в рамках сотрудничества с отделами безопасности компаний, где была обнаружена проблема.
Шербрук и его коллега Яков Тараненко заявили, что им неизвестно, может ли отправка команд через API обойти ограничения безопасности, которыми оснащены современные стиральные машины для предотвращения перегрева и пожаров. Тараненко заявил, что разочарован тем, что CSC не признала их уязвимость и не имеет возможности с ними связаться.