🚨⚡🚨 Біткоін по $100к. Час встановлювати Trustee Plus і безкоштовно випускати картку для розрахунків 👉
Олександр КузьменкоГоряченькое
21 мая 2024, 16:33
2024-05-21
Два студента нашли эксплойт в огромной сети стиральных машин, расположенных в общежитиях и гостиницах. Уязвимость позволила пополнять счет на миллионы долларов
Студенты Университета Санта-Круз Александр Шербрук и Яков Тараненко рассказали, что обнаруженная ими уязвимость позволяет кому-либо удаленно отправлять команды стиральным машинам, работающим под управлением CSC, и бесплатно получать стирку белья. Они сообщали компанию об эксплойте, но там проигнорировали предупреждение.
Об этом студенты рассказали изданию TechCrunch. По словам Шербрука, идея испытать защиту появилась в одно январское утро он сидел на полу своей подвальной прачечной с ноутбуком в руках.
Со своего ноутбука он запустил сценарий кода с инструкциями, которые предписывали стоящей перед ним машине начать цикл стирки, несмотря на то, что на счету прачечной было $0. Машина сразу проснулась с громким звуковым сигналом и на ее дисплее появилась надпись «PUSH START», указывая на то, что машина готова постирать бесплатную партию белья.
В противном случае студенты положили на один из своих счетов в прачечной вроде бы несколько миллионов долларов, что отразилось в их мобильном приложении CSC Go так, будто это была вполне нормальная сумма денег, которую студент может потратить на стирку.
Поскольку CSC ServiceWorks не имеет специальной страницы для сообщения об уязвимости, Шербрук и Тараненко направили компании несколько сообщений через онлайн-форму для контактов в январе, но не получили никакого ответа от компании. По их словам, телефонный звонок в компанию тоже ни к чему не привел.
Выждав более трех месяцев, которые исследователи безопасности обычно дают компаниям на устранение недостатков, прежде чем обнародовать их, студенты рассказали о своей находке. Они утверждают, что уязвимость заключается в API, используемом мобильным приложением CSC, CSC Go. API позволяет приложениям и устройствам общаться друг с другом через Интернет. В этом случае клиент открывает приложение CSC Go, чтобы пополнить свой счет, заплатить и начать загрузку белья на соседней машине.
Шербрук и Тараненко обнаружили, что серверы CSC можно обмануть, заставив их принимать команды, изменяющие остаток на счете, поскольку любые проверки безопасности осуществляются приложением на пользовательском устройстве и автоматически доверяются серверам CSC. Это позволяет им платить за стирку, не внося реальные средства на свои счета.
Проанализировав сетевой трафик при входе в систему и использовании приложения CSC Go, Шербрук и Тараненко обнаружили, что они могут обойти проверку безопасности приложения и отправлять команды непосредственно на серверы CSC, которые недоступны через приложение.
Исследователи заявили, что потенциально любой может создать учетную запись пользователя CSC Go и отправлять команды с помощью API, поскольку серверы также не проверяют, принадлежат ли новые пользователи их адресам электронной почты. Исследователи проверили это, создав новый аккаунт CSC с вымышленным адресом электронной почты.
Имея прямой доступ к API и ссылаясь на опубликованный список команд для связи с серверами CSC, исследователи утверждают, что можно удаленно определить местонахождение и взаимодействовать с «каждой стиральной машиной в сети CSC ServiceWorks, подключенной к сети».
После того как исследователи сообщили о своих находках, CSC незаметно уничтожила остаток на счету исследователей в несколько миллионов долларов, но исследователи заявили, что баг остается неисправленным.
«Я просто не понимаю, как такая крупная компания допускает такие ошибки, а потом нет возможности связаться с ними. В самом худшем случае люди могут легко пополнить свои кошельки, а компания потеряет кучу денег. Почему бы не потратить минимум средств на создание единого контролируемого почтового ящика для подобных ситуаций?», — сказал Тараненко.
Напомним, что ранее ужгородский горрайонный суд Закарпатской области вынес приговор украинцу, который нашел способ обмануть банкомат. Благодаря эксплойту банк зачислял деньги на его счет, а банкомат возвращал внесенные средства наличными.
«Если наши хакеры соберутся, чтобы дать им люлей, то, возможно, у них получится». Готова ли Украина отражать новые удары и наносить их в ответ. Интервью
В прошлом месяце, когда политики и эксперты только обсуждали возможность физического вторжения РФ на территорию Украины, гибридная война уже началась.