Se Encuentra un Error de Seguridad en Máquinas de Lavandería Conectadas Comerciales

Error de Seguridad en Máquinas de Lavandería

No se puede decir lo suficiente: si un objeto puede ser conectado, conlleva un riesgo de seguridad. Incluso se ha encontrado que las máquinas de lavandería conectadas comerciales tienen un error de seguridad importante que permitía a cualquiera enviar comandos de forma remota a las máquinas.

Consejo: ¿quieres mantener tu PC protegida? Prueba estas configuraciones de Windows para protección gratuita de PC.

Dos Estudiantes Encuentran un Error de Seguridad en las Máquinas de Lavandería

Este problema fue encontrado por primera vez por dos estudiantes universitarios de California, Alexander Sherbrooke e Iakov Taranenko. El primero estaba sentado en la sala de lavandería del sótano en enero mientras usaba su laptop, tratando de construir una aplicación para rastrear el estado de las máquinas de lavandería. Comenzó a pensar en ello, luego ejecutó algunas instrucciones de código en una de las máquinas de lavandería para iniciar un ciclo, a pesar de que no tenía saldo en su cuenta de lavandería. La máquina se encendió y mostró el mensaje “Presiona Iniciar.”

Error de Seguridad en Máquinas de Lavandería Hombre Esperando

Él y su amigo intentaron agregar un saldo falso de 13 millones de dólares en una cuenta de lavandería. Fue detectado en la aplicación móvil de la máquina como si realmente lo hubiera depositado. Estas vulnerabilidades podrían llevar a muchas cosas, pero ciertamente podrían permitir a los estudiantes, o a cualquiera, hacer su lavandería gratis.

FYI: aprende qué es el botón de Seguridad de Windows y cómo usarlo.

Error de Seguridad en Máquinas de Lavandería Reportado

Los estudiantes Sherbrooke y Taranenko informaron sus hallazgos a CSC ServiceWorks, una empresa de servicios de lavandería que opera las máquinas. La empresa gestiona una red de más de un millón de estas máquinas que se encuentran en hoteles, universidades y residencias en los Estados Unidos, Canadá y Europa.

No pudieron encontrar una página de seguridad dedicada para reportar tales cosas, así que enviaron varios mensajes a un formulario de contacto en línea pero nunca recibieron respuesta de la empresa. También se informó al Centro de Coordinación CERT de la Universidad Carnegie Mellon. CERT ayuda a divulgar fallas de seguridad.

Error de Seguridad en Máquinas de Lavandería Máquinas Conectadas Comerciales

Se notó que se podían enviar comandos a los servidores de las máquinas, ya que las verificaciones de seguridad están en el dispositivo del usuario en la aplicación. Los servidores de CSC confían en ellos sin hacer preguntas. Una vez que revisaron el tráfico de la red, los dos estudiantes descubrieron que podían eludir las verificaciones de seguridad y enviar los comandos al servicio. Las direcciones de correo electrónico utilizadas para crear una cuenta con la aplicación tampoco son verificadas.

Después de los tres meses habituales de espera para que CSC hiciera algo antes de hacerlo público, Sherbrooke y Taranenko están revelando más. Creen que la vulnerabilidad está en la API de la aplicación móvil. CSC no ha hecho nada para arreglar la aplicación, pero sí eliminaron el saldo bancario falso más grande. Sin embargo, quedan cantidades más pequeñas de $50 a $100 en la cuenta.

Es importante señalar que este problema de seguridad está en toda la red de dispositivos, no solo en los de ese campus universitario en particular. Ahí es donde es preocupante. Si las máquinas de lavandería tienen ese error de seguridad, piensa en cuántos otros objetos conectados, que de otro modo serían inocuos, tienen una vulnerabilidad de seguridad. Sigue leyendo para aprender cómo proteger tu privacidad y seguridad en Android.

Crédito de la imagen: Unsplash