安く、あるいはさらにいいことに無料で洗濯を済ませたいと考えていませんか? インターネットに接続された人気の洗濯機ベンダーのセキュリティ上の欠陥により、誰でも衣類の洗濯や乾燥の料金の支払いを回避できる可能性があることが判明した。 この脆弱性は数か月前にベンダーに報告され、修正されていないため、悪意のある者がこの問題を好き勝手に悪用することができます。
1月、カリフォルニア大学サンタクルーズ校の学生、アレクサンダー・シャーブルックさんとヤコフ・タラネンコさんは、好奇心とセキュリティ意識を持って、大学にあると思われるCSCサービスワークスという会社が運営する洗濯機を実験していた。 シャーブルックさんは、試行錯誤の中で、口座に資金がないにもかかわらず、洗濯機を起動できる発見をしました。 二人の創意工夫は、ランドリー口座に数百万ドルの残高を追加することができ、CSC Go モバイル アプリに表示されたときにさらに証明されました。
Advertisement
その後、学生たちは専用のセキュリティ脆弱性報告ページを持っていないため、電子メールで脆弱性を会社に報告しました。 また、責任ある開示と脆弱性報告を支援するために、カーネギーメロン大学のコンピュータ緊急対応チーム調整センターにメッセージを送信しました。 によると テッククランチ、学生たちはまだ CSC ServiceWorks から電子メールまたは電話での返答を受け取っておらず、後者の場合も試みられました。
出版まで3か月待った後、シャーブルック氏とタラネンコ氏は研究結果を公表した。その研究結果は、発表会で初めて披露された。 大学サイバーセキュリティクラブ 5月に。 CSC モバイル アプリ API はアプリの認証チェックのみを実行し、サーバーは本質的にメッセージを信頼し、メッセージが既に認証されていることを期待していることがわかりました。 特定の洗濯機の例はさておき、これは IoT 製品全般、およびこのような相互接続されたデバイスの大規模ネットワークに対する懸念を引き起こします。 次に、ソーダマシンからすべての缶を捨てます。缶はすべて相互接続されているためです。 マジック 8 ボールは潜在的にそう言います。