商業用接続洗濯機に見つかったセキュリティバグ

接続可能な物体には常にセキュリティリスクが伴うと言っても過言ではありません。商業用の接続洗濯機にも、誰でも機械にリモートでコマンドを送信できる重大なセキュリティバグが見つかりました。

ヒント: PCを保護したいですか？無料のPC保護のためにこれらのWindows設定を試してみてください。

二人の学生が洗濯機のセキュリティバグを発見

この問題は、カリフォルニアの大学生アレクサンダー・シャーボークとヤコブ・タラネンコによって最初に発見されました。前者は1月に地下の洗濯室でノートパソコンを使って、洗濯機の状態を追跡するアプリを作ろうとしていました。彼はそれについて考え始め、洗濯口座に残高がないにもかかわらず、洗濯機の1台にサイクルを開始するためのコード命令を実行しました。機械は起動し、「スタートを押してください」というメッセージを表示しました。

彼と友人は、洗濯口座に1300万ドルの偽の残高を追加しようとしました。それはまるで本当に預けたかのように、機械のモバイルアプリで検出されました。これらの脆弱性は多くのことにつながる可能性がありますが、学生や他の誰でも無料で洗濯をすることを許可することは確かです。

FYI: Windowsセキュリティボタンが何であるか、そしてそれをどのように使用するかを学びましょう。

洗濯機のセキュリティバグが報告される

学生のシャーボークとタラネンコは、洗濯機を運営するCSCサービスワークスに彼らの発見を報告しました。この会社は、アメリカ、カナダ、ヨーロッパのホテル、大学、住居にある100万台以上のこれらの機械のネットワークを管理しています。

彼らはそのようなことを報告するための専用のセキュリティページを見つけることができなかったため、オンラインの連絡フォームにいくつかのメッセージを送信しましたが、会社からの返事はありませんでした。また、カーネギーメロン大学のCERTコーディネーションセンターにも報告されました。CERTはセキュリティの欠陥を開示する手助けをします。

コマンドが機械のサーバーに送信できることが確認されました。アプリ内のセキュリティチェックはユーザーのデバイスにあります。CSCのサーバーは、何の疑問もなくそれを信頼しています。ネットワークトラフィックを調べた後、二人の学生はセキュリティチェックを回避し、サービスにコマンドを送信できることを発見しました。アプリでアカウントを作成するために使用されたメールアドレスも確認されていません。

CSCが何かをするまでの通常の3ヶ月の待機期間を経て、シャーボークとタラネンコはさらに多くのことを明らかにしています。彼らは脆弱性がモバイルアプリのAPIにあると考えています。CSCはアプリを修正するための何も行っていませんが、彼らは大きな偽の銀行残高を消去しました。しかし、50ドルから100ドルの小額はアカウントに残っています。

このセキュリティ問題は、特定の大学キャンパスの機械だけでなく、全てのデバイスネットワークに存在することに注意する必要があります。そこが懸念される点です。洗濯機にそのセキュリティバグがあるなら、他の接続された物体にもセキュリティの脆弱性があることを考えてみてください。Androidでプライバシーとセキュリティを保護する方法を学ぶために読み進めてください。

画像クレジット: Unsplash