Обнаружена уязвимость безопасности в коммерческих подключенных стиральных машинах
Нельзя сказать этого достаточно: если объект может быть подключен, он несет в себе риск безопасности. Даже в коммерческих подключенных стиральных машинах была обнаружена серьезная уязвимость безопасности, которая позволяла любому отправлять команды удаленно на машины.
Совет: хотите защитить свой ПК? Попробуйте эти настройки Windows для бесплатной защиты ПК.
Два студента обнаружили уязвимость безопасности в стиральных машинах
Эта проблема была впервые обнаружена двумя студентами колледжа в Калифорнии, Александром Шербруком и Яковом Тараненко. Первый сидел в прачечной в подвале в январе, работая на своем ноутбуке, пытаясь создать приложение для отслеживания статуса стиральных машин. Он начал об этом думать, а затем запустил некоторые команды к одной из стиральных машин, чтобы запустить цикл, хотя у него не было баланса на его прачечном счете. Машина запустилась и показала сообщение “Нажмите Старт.”
Он и его друг попытались добавить фальшивый баланс в 13 миллионов долларов на прачечный счет. Это было обнаружено в мобильном приложении машины, как будто он действительно внес эти деньги. Эти уязвимости могут привести к многим последствиям, но они определенно могут позволить студентам или любому другому делать свою стирку бесплатно.
К сведению: узнайте, что такое кнопка безопасности Windows и как ее использовать.
Уязвимость безопасности стиральных машин была сообщена
Студенты Шербрук и Тараненко сообщили о своих находках в CSC ServiceWorks, компанию по обслуживанию прачечных, которая управляет этими машинами. Компания управляет сетью из более чем миллиона таких машин, которые находятся в отелях, университетах и жилых домах в США, Канаде и Европе.
Они не смогли найти специальную страницу безопасности для сообщения о таких вещах, поэтому отправили несколько сообщений через онлайн-форму обратной связи, но так и не получили ответа от компании. Это также было сообщено в Центр координации CERT при Университете Карнеги-Меллон. CERT помогает раскрывать уязвимости безопасности.
Было замечено, что команды могут быть отправлены на серверы машин, так как проверки безопасности находятся на устройстве пользователя в приложении. Серверы CSC доверяют им без вопросов. Как только они посмотрели на сетевой трафик, два студента обнаружили, что могут обойти проверки безопасности и отправить команды на сервис. Адреса электронной почты, используемые для создания учетной записи в приложении, также не проверяются.
После обычных трех месяцев ожидания, чтобы CSC что-то сделала, прежде чем сделать это публичным, Шербрук и Тараненко раскрывают больше. Они считают, что уязвимость находится в API мобильного приложения. CSC ничего не сделала, чтобы исправить приложение, но они стерли больший фальшивый банковский баланс. Однако меньшие суммы от 50 до 100 долларов остаются на счете.
Следует отметить, что эта проблема безопасности касается всей сети устройств – не только тех, что находятся на этом конкретном кампусе колледжа. Вот где это вызывает беспокойство. Если в стиральных машинах есть эта уязвимость безопасности, подумайте, сколько других подключенных объектов, которые в противном случае были бы безобидными, имеют уязвимость безопасности. Читайте дальше, чтобы узнать, как защитить свою конфиденциальность и безопасность на Android.
Фото: Unsplash
