Bir çift üniversite öğrencisi, bu yılın başlarında, dünyanın dört bir yanındaki konutlarda ve üniversite kampüslerinde bulunan bir milyonun üzerinde internet bağlantılı çamaşır makinesinin sağladığı çamaşır yıkama hizmeti için kimsenin ödeme yapmasına izin vermeyen bir güvenlik açığı bulduklarını ve bunu bildirdiklerini söyledi.
Aylar sonra, satıcı CSC ServiceWorks’ün kusurun düzeltilmesine yönelik talepleri defalarca göz ardı etmesinden sonra güvenlik açığı açık kalmaya devam etti.
UC Santa Cruz öğrencileri Alexander Sherbrooke ve Iakov Taranenko TechCrunch’a, keşfettikleri güvenlik açığının herkesin CSC tarafından çalıştırılan çamaşır makinelerine uzaktan komut göndermesine ve çamaşır yıkama çevrimlerini ücretsiz olarak çalıştırmasına izin verdiğini söyledi.
Sherbrooke, bir Ocak sabahı erken saatlerde elinde dizüstü bilgisayarıyla bodrum katındaki çamaşırhanenin zemininde oturduğunu ve “birden bir ‘oh s…’ anı yaşadığını” söyledi. Sherbrooke, dizüstü bilgisayarından, çamaşırhane hesabında 0 dolar olmasına rağmen önündeki makineye bir döngü başlatmasını söyleyen talimatlar içeren bir kod komut dosyası çalıştırdı. Makine yüksek bir bip sesiyle anında uyandı ve ekranında “PUSH START” yazısı yanıp sönerek makinenin boş miktarda çamaşır yıkamaya hazır olduğunu gösterdi.
Başka bir durumda, öğrenciler çamaşırhane hesaplarından birine birkaç milyon dolarlık görünürde bir bakiye eklediler ve bu da hesaplarına yansıdı. CSC Go mobil uygulaması sanki bir öğrencinin çamaşır yıkamaya harcayacağı para tamamen normalmiş gibi.
CSC ServiceWorks büyük bir çamaşırhane hizmeti şirketidir. bir ağ çığırtkanlığı yapmak Amerika Birleşik Devletleri, Kanada ve Avrupa’daki otellere, üniversite kampüslerine ve konutlara bir milyondan fazla çamaşır makinesi kuruldu.
CSC ServiceWorks’ün güvenlik açıklarını bildirmek için özel bir güvenlik sayfası bulunmadığından Sherbrooke ve Taranenko, Ocak ayı boyunca şirkete çevrimiçi iletişim formu aracılığıyla birkaç mesaj gönderdi ancak şirketten herhangi bir yanıt alamadı. Şirkete yapılan bir telefon görüşmesinin de onları hiçbir yere götürmediğini söylediler.
Öğrenciler ayrıca bulgularını Carnegie Mellon Üniversitesi’ndeki CERT Koordinasyon Merkezi’ne de gönderdiler; bu merkez, güvenlik araştırmacılarının kusurları etkilenen satıcılara açıklamasına ve halka düzeltmeler ve rehberlik sağlamasına yardımcı oluyor.
Öğrenciler, güvenlik araştırmacılarının genellikle satıcılara halka açılmadan önce kusurları düzeltmeleri için verdikleri geleneksel üç aydan daha uzun bir süre bekledikten sonra artık bulguları hakkında daha fazla bilgi veriyorlar. İkili ilk olarak araştırmalarını bir sunumda açıkladılar. üniversite siber güvenlik kulübü mayıs ayının başlarında.
CSC’de siber güvenlikten kimin sorumlu olduğu belli değil ve CSC temsilcileri TechCrunch’ın yorum taleplerine yanıt vermedi.
Öğrenci araştırmacılar, güvenlik açığının CSC’nin mobil uygulaması tarafından kullanılan API’de olduğunu söyledi. CSC’ye Git. API, uygulamaların ve cihazların internet üzerinden birbirleriyle iletişim kurmasına olanak tanır. Bu durumda müşteri, hesabına para yüklemek, ödeme yapmak ve yakındaki bir makinede çamaşır yıkamaya başlamak için CSC Go uygulamasını açar.
Sherbrooke ve Taranenko, CSC sunucularının, hesap bakiyelerini değiştiren komutları kabul edecek şekilde kandırılabileceğini keşfetti çünkü tüm güvenlik kontrolleri kullanıcının cihazındaki uygulama tarafından yapılıyor ve CSC sunucuları tarafından otomatik olarak güveniliyor. Bu, hesaplarına gerçek para yatırmadan çamaşır yıkama masraflarını ödemelerine olanak tanıyor.
Oturum açmış durumdayken ve CSC Go uygulamasını kullanarak ağ trafiğini analiz eden Sherbrooke ve Taranenko, uygulamanın güvenlik kontrollerini aşabileceklerini ve uygulamanın kendisi aracılığıyla erişilemeyen komutları doğrudan CSC sunucularına gönderebileceklerini keşfettiler.
CSC gibi teknoloji satıcıları, sunucularının uygun güvenlik kontrollerini gerçekleştirdiğinden emin olmaktan nihai olarak sorumludur, aksi takdirde bu, bir banka kasasının, kimin içeri girmesine izin verildiğini kontrol etme zahmetine girmeyen bir güvenlik görevlisi tarafından korunmasına benzer.
Araştırmacılar, sunucuların e-posta adreslerinin yeni kullanıcılara ait olup olmadığını kontrol etmemesi nedeniyle potansiyel olarak herkesin bir CSC Go kullanıcı hesabı oluşturabileceğini ve API’yi kullanarak komutlar gönderebileceğini söyledi. Araştırmacılar bunu, uydurma bir e-posta adresiyle yeni bir CSC hesabı oluşturarak test etti.
API’ye doğrudan erişim ve CSC’lere referans verme ile sunucularıyla iletişim kurmak için kendi yayınlanmış komut listesiAraştırmacılar, “CSC ServiceWorks bağlantılı ağdaki her çamaşır makinesini” uzaktan bulmanın ve onlarla etkileşime geçmenin mümkün olduğunu söyledi.
Pratik olarak konuşursak, ücretsiz çamaşır yıkamanın bariz bir avantajı var. Ancak araştırmacılar, ağır iş cihazlarının internete bağlı olmasının ve saldırılara karşı savunmasız olmasının potansiyel tehlikelerini vurguladı. Sherbrooke ve Taranenko, API aracılığıyla komut göndermenin, modern çamaşır makinelerinin aşırı ısınmayı ve yangınları önlemek için getirdiği güvenlik kısıtlamalarını aşıp aşamayacağının farkında olmadıklarını söyledi. Araştırmacılar, birisinin bir döngüyü başlatmak için çamaşır makinesinin başlatma düğmesine fiziksel olarak basması gerektiğini, o zamana kadar birisi makineyi sıfırlamadığı sürece çamaşır makinesinin ön tarafındaki ayarların değiştirilemeyeceğini söyledi.
CSC, bulgularını rapor ettikten sonra araştırmacıların birkaç milyon dolarlık hesap bakiyesini sessizce sildi, ancak araştırmacılar hatanın düzeltilmediğini ve kullanıcıların kendilerine herhangi bir miktarda parayı “özgürce” vermelerinin hala mümkün olduğunu söyledi.
Taranenko, CSC’nin onların savunmasızlığını kabul etmemesinden dolayı hayal kırıklığına uğradığını söyledi.
“Bu kadar büyük bir şirketin nasıl bu tür hatalar yaptığını ve sonra onlarla iletişim kurmanın hiçbir yolu olmadığını anlamıyorum” dedi. “En kötü senaryoda, insanlar cüzdanlarını kolayca doldurabilir ve şirket tonlarca para kaybeder. Bu tür bir durum için neden tek bir izlenen güvenlik e-posta gelen kutusuna sahip olmak için minimum düzeyde harcama yapmıyorsunuz?”
Ancak araştırmacılar, CSC’den yanıt gelmemesi nedeniyle yılmadı.
Taranenko, “Bunu iyi niyetle yaptığımız için, bir şirketin güvenlik sorunlarına yardımcı olacaksa yardım masasını aramak için birkaç saat beklemede kalmaktan çekinmiyorum” dedi ve “eğlenceli olduğunu” da sözlerine ekledi. Bu tür güvenlik araştırmalarını yalnızca simüle edilmiş yarışmalarda değil, gerçek dünyada da yapın.”