网络第5域

安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用

字号+作者: 来源:cnBeta 2024-05-18 09:57 评论(创建话题) 收藏成功收藏本文

加州大学圣克鲁兹分校的两名学生研究员亚历山大-舍布鲁克(AlexanderSherbrooke)和伊科夫-塔拉嫩科(IakovTaranenko)发现了一个安全漏洞,该漏洞使CSCServiceW'...

加州大学圣克鲁兹分校的两名学生研究员亚历山大-舍布鲁克(AlexanderSherbrooke)和伊科夫-塔拉嫩科(IakovTaranenko)发现了一个安全漏洞,该漏洞使CSCServiceWorks运营的100多万台洗衣机面临免费赠送洗衣服务的风险。uSk品论天涯网

访问:uSk品论天涯网

NordVPN立减75%+外加3个月时长另有NordPass密码管理器
uSk品论天涯网

uSk品论天涯网

通常情况下,想要使用该公司服务的人需要在手机上安装CSCGo应用程序,加载余额,然后在附近的洗衣机上开始洗衣循环。任何具备必要知识的人都可以利用这个漏洞,通过远程向这家拥有90年历史的公司在美国、加拿大和欧洲的住宅、酒店和大学校园里运营的联网洗衣机发送指令,获得免费洗衣服务。uSk品论天涯网

事情要从今年1月初说起,当时Sherbrooke正带着笔记本电脑坐在地下室的洗衣房里。在账户中没有余额的情况下,他尝试运行一个代码脚本,命令面前的洗衣机运行一个洗衣周期,结果成功了。此外,学生们还在自己的一个洗衣账户中添加了数百万美元,这些钱也出现在了CSCMobileGo应用程序中。uSk品论天涯网

据这两名学生称,该公司仍对漏洞的存在和修复要求一无所知。1月初,他们试图通过多种渠道联系CSCServiceWorks,如通过在线联系表单发送多条信息和拨打电话,但均无人接听。uSk品论天涯网

该公司没有专门的安全页面来报告安全漏洞。虽然CSCServiceWorks没有回应学生研究人员,但在他们报告发现后,CSCServiceWorks删除了大量账户余额。不过,该漏洞仍未修复,他们可以增加任何金额。目前尚不清楚该公司是否正在进行内部修复。uSk品论天涯网

根据两人的说法,该漏洞存在于移动应用程序使用的API中,该API可帮助设备和应用程序通过互联网相互通信。他们发现,他们可以直接向CSC的服务器发送命令,从而躲过应用程序的安全检查。uSk品论天涯网

学生研究人员告诉本刊,通过直接访问API和公司公布的服务器命令公开列表,他们可以找到"CSCServiceWorks连接网络上的每一台洗衣机"并与之交互。uSk品论天涯网

安全研究人员通常要等三个月才会公开他们的研究成果。这对学生说,他们等得更久,本月初在大学网络安全俱乐部展示了他们的发现。他们还与卡内基梅隆大学的CERT协调中心分享了他们的发现,该中心提供指导并帮助安全研究人员向供应商披露漏洞。uSk品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]