دو دانش آموز سانتا کروز اشکال امنیتی را کشف کردند که می تواند به میلیون ها نفر اجازه دهد لباس های خود را به صورت رایگان بشویند

دو دانش آموز سانتا کروز اشکال امنیتی را کشف کردند که می تواند به میلیون ها نفر اجازه دهد لباس های خود را به صورت رایگان بشویند

به گزارش اپست به نقل از تک کرانچ، CSC ServiceWorks ماشین‌های لباس‌شویی را به هزاران خانه مسکونی و دانشگاه ارائه می‌کند، اما این شرکت درخواست‌ها برای رفع یک اشکال امنیتی را نادیده گرفت.

یک جفت دانشجو می گویند اوایل امسال یک نقص امنیتی پیدا کردند و گزارش کردند که به هر کسی اجازه می دهد از پرداخت هزینه لباسشویی که توسط بیش از یک میلیون ماشین لباسشویی متصل به اینترنت در محل سکونت و دانشگاه در سراسر جهان ارائه می شود، اجتناب کند.

ماه‌ها بعد، پس از اینکه CSC ServiceWorks مکرراً درخواست‌های رفع نقص را نادیده گرفت، این آسیب‌پذیری باز باقی می‌ماند.

الکساندر شربروک و ایاکوف تاراننکو، دانشجویان دانشگاه کالیفرنیا سانتا کروز به TechCrunch گفتند که آسیب‌پذیری که آنها کشف کردند به هر کسی اجازه می‌دهد تا از راه دور دستورات را به ماشین‌های لباس‌شویی که توسط CSC اداره می‌شود ارسال کند و چرخه‌های لباس‌شویی را به صورت رایگان اجرا کند.

شربروک گفت که صبح یک روز ژانویه در حالی که لپ‌تاپ خود را در دست داشت، در ساعت‌های اولیه رخت‌شویی زیرزمینش نشسته بود و «ناگهان لحظه‌ای «اوه» داشت. شربروک از لپ‌تاپ خود یک اسکریپت کد با دستورالعمل‌هایی اجرا کرد که به دستگاه مقابلش می‌گفت با وجود داشتن ۰ دلار در حساب خشک‌شویی‌اش، یک چرخه را شروع کند. دستگاه بلافاصله با یک بوق بلند از خواب بیدار شد و “PUSH START” را بر روی صفحه نمایش خود فلش زد، که نشان می دهد دستگاه آماده شستن بار رایگان لباس است.

در موردی دیگر، دانش‌آموزان موجودی ظاهری چند میلیون دلاری را به یکی از حساب‌های لباس‌شویی خود اضافه کردند که در برنامه تلفن همراه CSC Go آنها منعکس می‌شد که گویی مبلغی کاملاً عادی برای دانش‌آموز است که برای لباس‌شویی خرج می‌کند.

CSC ServiceWorks یک شرکت بزرگ خدمات لباسشویی است که شبکه ای متشکل از بیش از یک میلیون ماشین لباسشویی نصب شده در هتل ها، پردیس های دانشگاهی و اقامتگاه ها در سراسر ایالات متحده، کانادا و اروپا را تبلیغ می کند.

از آنجایی که CSC ServiceWorks صفحه امنیتی اختصاصی برای گزارش آسیب‌پذیری‌های امنیتی ندارد، شربروک و تاراننکو پیام‌های متعددی را از طریق فرم تماس آنلاین خود در ژانویه به شرکت ارسال کردند اما چیزی از شرکت نشنیدند. آنها گفتند که تماس تلفنی با شرکت آنها را به جایی نرساند.

دانش‌آموزان همچنین یافته‌های خود را به مرکز هماهنگی CERT در دانشگاه کارنگی ملون ارسال کردند، که به محققان امنیتی کمک می‌کند نقص‌ها را برای فروشندگان آسیب‌دیده افشا کنند و راه‌حل‌ها و راهنمایی‌هایی را برای عموم ارائه کنند.

دانش‌آموزان اکنون پس از انتظار بیش از سه ماه متداول که محققان امنیتی معمولاً به فروشندگان اجازه می‌دهند قبل از انتشار عمومی، عیوب را برطرف کنند، اطلاعات بیشتری درباره یافته‌های خود فاش می‌کنند. این زوج ابتدا تحقیقات خود را در یک سخنرانی در باشگاه امنیت سایبری دانشگاه خود در اوایل ماه مه فاش کردند.

مشخص نیست، اگر کسی، مسئول امنیت سایبری در CSC است، و نمایندگان CSC به درخواست‌های TechCrunch برای اظهار نظر پاسخ ندادند.

محققین دانشجو گفتند که این آسیب‌پذیری در API مورد استفاده توسط اپلیکیشن موبایل CSC، CSC Go است. یک API به برنامه ها و دستگاه ها اجازه می دهد تا از طریق اینترنت با یکدیگر ارتباط برقرار کنند. در این حالت، مشتری برنامه CSC Go را باز می‌کند تا حساب خود را با وجوه شارژ کند، پرداخت کند و بارگیری لباس‌های شسته شده را در ماشینی در نزدیکی شروع کند.

شربروک و تاراننکو کشف کردند که سرورهای CSC را می توان فریب داد تا دستوراتی را بپذیرند که موجودی حساب آنها را تغییر می دهد زیرا هرگونه بررسی امنیتی توسط برنامه روی دستگاه کاربر انجام می شود و به طور خودکار توسط سرورهای CSC قابل اعتماد است. این به آن‌ها اجازه می‌دهد تا بدون قرار دادن وجوه واقعی در حساب‌هایشان، هزینه لباس‌شویی را بپردازند.

شربروک و تاراننکو با تجزیه و تحلیل ترافیک شبکه در حین ورود به سیستم و استفاده از برنامه CSC Go دریافتند که می توانند بررسی های امنیتی برنامه را دور بزنند و دستورات را مستقیماً به سرورهای CSC ارسال کنند که از طریق خود برنامه در دسترس نیستند.

فروشندگان فناوری مانند CSC در نهایت مسئول اطمینان از اینکه سرورهای آنها بررسی های امنیتی مناسب را انجام می دهند، هستند. در غیر این صورت شبیه به داشتن یک صندوق بانکی است که توسط نگهبانی محافظت می شود که به خود زحمت نمی دهد چک کند چه کسی اجازه ورود دارد.

محققان گفتند که به طور بالقوه هر کسی می تواند یک حساب کاربری CSC Go ایجاد کند و دستورات را با استفاده از API ارسال کند، زیرا سرورها همچنین بررسی نمی کنند که آیا کاربران جدید دارای آدرس ایمیل آنها هستند یا خیر. محققان این موضوع را با ایجاد یک حساب کاربری جدید CSC با یک آدرس ایمیل ساخته شده آزمایش کردند.

با دسترسی مستقیم به API و ارجاع به فهرست دستورات منتشر شده خود CSC برای برقراری ارتباط با سرورهای آن، محققان گفتند که می توان از راه دور مکان یابی و تعامل با «هر ماشین لباسشویی در شبکه متصل CSC ServiceWorks» را انجام داد.

از نظر عملی، لباسشویی رایگان جنبه مثبتی دارد. اما محققان بر خطرات بالقوه اتصال وسایل سنگین به اینترنت و آسیب پذیر بودن در برابر حملات تاکید کردند. شربروک و تاراننکو گفتند که از اینکه آیا ارسال دستورات از طریق API می‌تواند محدودیت‌های ایمنی را که ماشین‌های لباس‌شویی مدرن برای جلوگیری از گرمای بیش از حد و آتش‌سوزی با آن‌ها همراه هستند، دور بزند، بی‌اطلاع هستند. محققان گفتند که فردی برای شروع چرخه باید دکمه شروع ماشین لباسشویی را به صورت فیزیکی فشار دهد. تا آن زمان، تنظیمات جلوی ماشین لباسشویی را نمی توان تغییر داد، مگر اینکه شخصی دستگاه را بازنشانی کند.

CSC پس از گزارش یافته های خود، بی سر و صدا مانده حساب چندین میلیون دلاری محققان را از بین برد، اما محققان گفتند که این باگ رفع نشده است و کاربران همچنان می توانند «آزادانه» هر مقدار پول را به خود بدهند.

تاراننکو گفت که از اینکه CSC آسیب پذیری آنها را تایید نکرده است، ناامید شده است.

او گفت: “من متوجه نمی شوم که چگونه یک شرکت بزرگ چنین اشتباهاتی را مرتکب می شود، سپس راهی برای تماس با آنها ندارد.” در بدترین سناریو، مردم می توانند به راحتی کیف پول خود را بارگیری کنند و شرکت پول زیادی از دست بدهد. چرا حداقل برای داشتن یک صندوق ورودی ایمیل امنیتی نظارت شده برای این نوع شرایط صرف نمی کنید؟

اما محققان از عدم پاسخگویی CSC دلسرد شده‌اند.

تاراننکو گفت: «از آنجایی که ما این کار را با حسن نیت انجام می‌دهیم، من بدم نمی‌آید که چند ساعت منتظر بمانم تا با میز کمک آنها تماس بگیرم اگر به یک شرکت در زمینه مسائل امنیتی کمک می‌کند. این نوع تحقیقات امنیتی را در دنیای واقعی و نه فقط در مسابقات شبیه سازی شده انجام دهید.