Bucato gratis in tantissime lavanderie in tutto il mondo: due studenti dell’UC Santa Cruz hanno scoperto una vulnerabilità nelle lavatrici connesse a Internet di CSC ServiceWorks, che hanno permesso di fare il bucato senza pagare un dollaro. Alexander Sherbrooke e Iakov Taranenko hanno segnalato il problema all’azienda diversi mesi fa, ma non hanno ricevuto nessuna risposta — e la falla rimane aperta.
Bucato gratis per una falla nelle lavatrici connesse scoperta da due studenti
Alexander Sherbrooke ha spiegato a TechCrunch di aver realizzato il problema mentre sedeva sul pavimento della lavanderia del proprio college. Era le prime ore del mattino, ma da bravo programmatore aveva già in proprio laptop fra le proprie mani. Ha provato a scrivere uno script per far partire il ciclo della lavatrice, nonostante nel suo account sull’app CSC Go del suo smartphone non aveva nemmeno un dollaro. Sulla lavatrice selezionato, però, è comparsa lo stesso la scritta “Clicca Start”. E quindi ha potuto fare il bucato gratis.
Analizzando il traffico di rete, Sherbrooke e Taranenko hanno scoperto di poter aggirare i controlli dell’app e inviare comandi direttamente ai server di CSC. Questo consente di pagare il bucato senza mettere fondi reali sui conti. In un caso, hanno caricato milioni di dollari in credito nella propria app, quando basterebbe per fare il bucato per più di una vita. E hanno potuto farlo senza problemi.
La vulnerabilità risiede nell’API utilizzata dall’app mobile CSC Go, che permette di comunicare con le lavatrici connesse. Gli studenti hanno scoperto che i server di CSC possono essere ingannati ad accettare comandi che modificano i saldi dei conti, perché i controlli di sicurezza vengono eseguiti solo dall’app sul dispositivo dell’utente.
Non solo: i ricercatori hanno anche creato un account CSC con un indirizzo email inventato, dimostrando che i server non verificano l’identità dei nuovi utenti. Con l’accesso all’API e ai comandi pubblicati da CSC, è possibile localizzare e interagire con “ogni lavatrice sulla rete connessa CSC ServiceWorks”.
Eppure, CSC ServiceWorks non ha risposto alle loro richieste di risolvere le vulnerabilità delle lavatrici connesse.
Nessuna risposta — e la falla rimane
Solitamente, i ricercatori di sicurezza lasciano tre mesi di tempo alle aziende per sistemare la falle, prima di parlarne in maniera pubblica. Questo permette di risolvere il problema prima che gli hacker capiscano che c’è la possibilità di attaccare. Sherbrooke e Taranenko però hanno concesso due mesi extra alla società, visto che hanno scoperto il problema a gennaio e l’hanno subito modificato.
Questo perché la società non ha risposto a nessuna delle richieste dei ricercatori. CSC non ha un programma di segnalazioni falle e bug, quindi Sherbrooke e Taranenko hanno contattato il servizio clienti, anche telefonicamente. La società ha rimosso il conto da milioni di dollari, che i ricercatori non avevano usato, ma non ha risposto e non ha risolto la falla.
Eppure, questa falla può creare problemi maggiori che il mancato introito da parte della società. Prima di iniziare il lavaggio, le lavatrici richiedono di premere il pulsante Start — quindi gli hacker non dovrebbe riuscire a creare cortocircuiti o sovraccarichi di lavoro potenzialmente pericolosi. Tuttavia, potrebbe creare disservizi e bloccare i servizi nelle lavanderie.
CSC ServiceWorks è una grande azienda con oltre un milione di lavatrici installate in hotel, campus universitari e residenze negli Stati Uniti, Canada ed Europa. I rischi ci sono, e sono globali.
I ricercatori hanno quindi contattato anche il Centro di coordinamento CERT della Carnegie Mellon University, che aiuta a rivelare le vulnerabilità ai fornitori interessati. Ma per il momento la società non ha risposto.
Hacker e servizi
Non è la prima volta che servizi agli utenti rivelano falle potenzialmente pericolose. L’anno scorso, degli hacker avevano mostrato immagini a favore della liberazione di Alfredo Cospito nei distributori di sigarette, cambiando il prezzo di ogni pacchetto a 10 centesimi. E tornando indietro nel tempo, a inizio degli anni 2000 girava un manuale per evitare di pagare le lattine ai distributori di Coca-Cola.
In questo caso, però, quello che fa più rumore è la mancata risposta da parte dell’azienda. I ricercatori però non sembrano frustrati dalla mancata risposta. Anzi, hanno trovato “divertente poter fare questo tipo di ricerca sulla sicurezza nel mondo reale e non solo in competizioni simulate“. Hanno usato, insomma, questo problema delle proprie lavanderie del college come un’occasione di studio sul campo. Resta da vedere se, ora che la falla è pubblica, la società correrà finalmente ai ripari.
Ultimo aggiornamento 2024-10-06 / Link di affiliazione / Immagini da Amazon Product Advertising API
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🛍️ Amazon Black Friday 2024: date, migliori offerte e consigli per risparmiare
🎮 I 10 migliori giochi che dovresti assolutamente comprare con le offerte di Steam: sconti fino al 95%
🪁 PlayLab, il museo a portata di bambino
🚗 Restomod: quando le leggende dell’asfalto rinascono per farci sognare ancora
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
