Czy chcesz zrobić pranie tanio lub, co jeszcze lepsze, za darmo? Okazuje się, że luka w zabezpieczeniach popularnego dostawcy pralek podłączonych do Internetu może pozwolić każdemu uniknąć płacenia opłaty za pranie lub suszenie ubrań. Luka ta została zgłoszona dostawcy kilka miesięcy temu i pozostaje nienaprawiona, dzięki czemu osoby pozbawione skrupułów mogą nadużyć problemu według własnego uznania.
W styczniu studenci Uniwersytetu Kalifornijskiego w Santa Cruz, Alexander Sherbrooke i Iakov Taranenko, kierując się swoją ciekawością i troską o bezpieczeństwo, eksperymentowali z pralkami, które prawdopodobnie znajdowały się na uniwersytecie i były prowadzone przez firmę o nazwie CSC ServiceWorks. Podczas majsterkowania Sherbrooke dokonał odkrycia, które pozwoliło mu uruchomić pralkę, mimo że nie miał środków na koncie. Pomysłowość duetu została dodatkowo udowodniona, gdy udało im się dodać do swoich kont pralniczych saldo o wartości kilku milionów dolarów, co pojawiło się w ich aplikacji mobilnej CSC Go.
Advertisement
Następnie uczniowie zgłosili firmie luki w zabezpieczeniach za pośrednictwem poczty elektronicznej, ponieważ nie mają dedykowanej strony zgłaszania luk w zabezpieczeniach. Wysłali także wiadomości do Centrum Koordynacyjnego Zespołu Reagowania na Kryzysy Komputerowe na Uniwersytecie Carnegie Mellon, aby pomóc w odpowiedzialnym ujawnianiu informacji i zgłaszaniu luk w zabezpieczeniach. Według TechCrunchstudenci nie otrzymali jeszcze odpowiedzi od CSC ServiceWorks ani za pośrednictwem poczty elektronicznej, ani rozmowy telefonicznej, przy czym próbowano również skorzystać z tej drugiej opcji.
Po trzech miesiącach oczekiwania na publikację Sherbrooke i Taranenko upublicznili swoje odkrycia, które po raz pierwszy zaprezentowano podczas ich uniwersytecki klub cyberbezpieczeństwa w maju. Okazuje się, że interfejs API aplikacji mobilnej CSC sprawdza jedynie uwierzytelnienie aplikacji, a serwery z natury ufają wiadomościom, oczekując, że zostaną już uwierzytelnione. Pomijając konkretny przypadek pralki, budzi to obawy dotyczące ogólnie produktów IoT i dużych sieci wzajemnie połączonych urządzeń, takich jak ten. Co dalej, wyrzucenie wszystkich puszek z automatu z napojami gazowanymi, ponieważ wszystkie są ze sobą powiązane? Magic 8 Ball mówi potencjalnie.