两名加州大学圣克鲁斯分校(UCSC)的学生发现了 CSC ServiceWorks洗衣机中的安全缺陷,该缺陷允许用户享受无限的免费洗衣周期。这项漏洞的细节由学生亚历山大·谢尔布鲁克(AlexanderSherbrooke)和伊亚科夫·塔拉年科(Iakov Taranenko)向科技媒体 TechCrunch 解释。
他们指出,漏洞的根源在于 CSC Go 应用使用的 API,该 API 会错误地信任用户设备上进行的安全检查。“安全检查是由应用在用户设备上进行的,而 CSC 的服务器会自动信任这些检查,”他们表示。
这个漏洞是通过谢尔布鲁克运行一段指令代码发现的,尽管他的账户里没有任何余额,却成功启动了洗衣机,令他惊讶的是,洗衣机亮起了灯,用户只需按下开始按钮即可开始洗衣。
然而,这名学生与他的同伴并没有止于此。他们还向自己的洗衣账户中添加了几百万美元的余额,而 CSC Go 移动应用对此并没有进行限制。
在今年一月,谢尔布鲁克和塔拉年科试图通过 CSC ServiceWorks的在线联系表格来报告这一漏洞,但未收到回复。拨打电话后同样得到了“石沉大海”的结果。
几个月后,当他们等待的时间超过了研究人员通常给予厂商的三个月来修复漏洞的时限后,这对学生决定公开他们的发现,并提供更多细节。
Dark Reading 向 CSC ServiceWorks 请求评论,但尚未收到回复。
在 5 月 20 日,谢尔布鲁克和塔拉年科向 Slug Security 提交了一篇博客文章,称其为与 TechCrunch 采访的“更技术性延续”。
学生们表示,他们拖延报告这一漏洞的原因是希望确保自己正确地处理这个过程。“我们不希望一家数百万美元的公司因为我们没有报告而对我们提起诉讼,”他们说道。UCSC的学生还得到了卡内基梅隆大学 CERT 协调中心的帮助来联络厂商,但该厂商“甚至没有访问 CERT 的门户来查看消息。”
在学生们报告其发现后,CSC 将他们的亿万账户余额清空,但漏洞仍然没有修复。
塔拉年科说:“最坏的情况是,人们可以轻松地为账户充值,而公司将损失大量资金。为什么不花最少的成本来设置一个专门监控的安全电子邮箱,以应对这种情况呢?”
Leave a Reply