상업용 연결 세탁기에서 발견된 보안 버그

연결할 수 있는 객체는 보안 위험을 동반한다고 할 수 있다. 상업용 연결 세탁기에서도 원격으로 기계에 명령을 보낼 수 있는 주요 보안 버그가 발견되었다.

팁: PC를 보호하고 싶으신가요? 무료 PC 보호를 위한 이러한 Windows 설정을 시도해 보세요.

두 학생이 세탁기에서 보안 버그 발견

이 문제는 두 명의 캘리포니아 대학생, 알렉산더 셔브룩과 야코프 타라넨코에 의해 처음 발견되었다. 셔브룩은 1월에 지하 세탁실에서 노트북을 사용하여 세탁기 상태를 추적하는 앱을 만들려고 하던 중이었다. 그는 생각을 하다가 세탁기 중 하나에 코드를 실행하여 세탁 사이클을 시작하게 했고, 세탁 계좌에 잔액이 없었음에도 불구하고 기계가 작동하기 시작하고 “시작 버튼을 눌러주세요”라는 메시지가 표시되었다.

그와 그의 친구는 세탁 계좌에 1300만 달러의 가짜 잔액을 추가하려고 했다. 이는 마치 실제로 입금한 것처럼 기계의 모바일 앱에서 감지되었다. 이러한 취약점은 여러 가지로 이어질 수 있지만, 학생들이나 다른 누구라도 무료로 세탁을 할 수 있게 해줄 수 있다.

참고: Windows 보안 버튼이 무엇인지, 그리고 어떻게 사용하는지 알아보세요.

세탁기 보안 버그 보고

셔브룩과 타라넨코 학생은 이 발견을 세탁기 운영 회사인 CSC ServiceWorks에 보고했다. 이 회사는 미국, 캐나다, 유럽의 호텔, 대학 및 거주지에 있는 백만 대 이상의 세탁기를 관리하고 있다.

그들은 이러한 문제를 보고할 전용 보안 페이지를 찾을 수 없었기 때문에 온라인 연락 양식에 여러 메시지를 보냈지만 회사로부터 아무런 응답을 받지 못했다. 또한 카네기 멜론 대학교의 CERT 조정 센터에도 보고되었다. CERT는 보안 결함을 공개하는 데 도움을 준다.

명령이 기계의 서버로 전송될 수 있다는 것이 주목되었으며, 보안 검사는 앱의 사용자 장치에서 수행된다. CSC의 서버는 아무런 질문 없이 그들을 신뢰한다. 네트워크 트래픽을 살펴본 두 학생은 보안 검사를 우회하고 서비스에 명령을 보낼 수 있음을 발견했다. 앱으로 계정을 생성할 때 사용된 이메일 주소도 확인되지 않는다.

CSC가 공개하기 전에 무언가를 하기를 기다리는 관례적인 3개월이 지나고, 셔브룩과 타라넨코는 더 많은 정보를 공개하고 있다. 그들은 취약점이 모바일 앱의 API에 있다고 믿고 있다. CSC는 앱을 수정하기 위한 조치를 취하지 않았지만, 더 큰 가짜 은행 잔액은 삭제했다. 그러나 50달러에서 100달러의 소액은 여전히 계좌에 남아 있다.

이 보안 문제는 특정 대학 캠퍼스의 기계뿐만 아니라 전체 장치 네트워크에 존재한다는 점을 주목해야 한다. 이것이 우려되는 이유이다. 세탁기에 이러한 보안 버그가 있다면, 그렇지 않으면 무해할 다른 많은 연결된 객체들이 보안 취약점을 가질 수 있다고 생각해 보라. Android에서 개인 정보와 보안을 보호하는 방법을 알아보려면 계속 읽어보세요.

이미지 출처: Unsplash