Z inteligentnymi urządzeniami, takimi jak pralki, bywa tak, że da się je zhakować. Tak zrobili dwaj młodzi programiści, którzy mogli nie ujawniać swojego odkrycia i zapewnić sobie darmowe pranie do końca życia.
Według serwisu TechCrunch, Alexander Sherbrooke i Iakov Taranenko – studenci Uniwersytetu Kalifornijskiego w Santa Cruz – odkryli lukę bezpieczeństwa w inteligentnych pralkach, które są wykorzystywane komercyjnie w wielu krajach. Wiecie, jak w tej sytuacji zareagowała firma od pralek?
Spis treści
„Odkrycie” dwóch studentów
Dwóch studentów Uniwersytetu Kalifornijskiego odkryło lukę w zabezpieczeniach, która pozwala na darmowe pranie w pralkach obsługiwanych przez firmę CSC ServiceWorks. Luka ta dotyczy interfejsu API aplikacji mobilnej CSC Go, umożliwiając użytkownikom modyfikowanie salda konta i wysyłanie poleceń do pralek zdalnie. Wystarczyło uruchomienie skryptu na laptopie.
Luka pozwala na zdalne uruchomienie pralki, mimo braku środków na koncie, a także dodanie dowolnej kwoty pieniędzy do konta użytkownika, zapewniając darmowe pranie. Warto dodać, że w przypadku CSC ServiceWorks mówimy o ponad milionie podłączonych do internetu pralek w akademikach i kampusach uniwersyteckich w Stanach Zjednoczonych, Kanadzie i Europie.
Jak zhakowano pralki
Studenci stwierdzili, że luka występuje w interfejsie API używanym przez aplikację mobilną CSC Go. Aplikacja ta jest niezbędna, aby doładować swoje konto środkami oraz rozpocząć pranie. Sherbrooke i Taranenko odkryli, że serwery CSC można oszukać, aby akceptowały polecenia modyfikujące salda kont, ponieważ wszelkie kontrole bezpieczeństwa przeprowadzane są na urządzeniu użytkownika i serwery CSC automatycznie im ufają. Dzięki temu mogą płacić za pranie bez wpłacania prawdziwych środków na swoje konta.
Dzięki bezpośredniemu dostępowi do interfejsu API i odwoływaniu się do opublikowanej przez CSC listy poleceń służących do komunikacji z serwerami stwierdzono ponadto, że możliwe jest zdalne zlokalizowanie i interakcja z „każdą pralką w sieci połączonej z CSC ServiceWorks”.
Co więcej, potencjalnie każdy może utworzyć konto użytkownika CSC Go i wysyłać polecenia za pomocą interfejsu API, ponieważ serwery nie sprawdzają, czy nowi użytkownicy są właścicielami ich adresów e-mail. Naukowcy przetestowali to, tworząc nowe konto CSC z wymyślonym adresem e-mail.
Brak reakcji ze strony CSC ServiceWorks
Studenci zgłosili lukę firmie CSC w styczniu, ale dotąd nie otrzymali żadnej odpowiedzi. Firma nie przyznała się do istnienia podatności i nie naprawiła błędu, ale konta studentów, którzy naładowali je milionami na bezpłatne pranie, zostały wyczyszczone.
Brak odpowiedzi i reakcji ze strony firmy skłonił studentów do poinformowania innych o swoich odkryciach. Jest to istotne w kontekście innych inteligentnych urządzeń stosowanych w naszych domach. Kto będzie mieć zaufania do producentów inteligentnej elektroniki (np. kamer bezpieczeństwa czy elementów smart home), którzy nie reagują na takie zgłoszenia?
Dziękujemy, że dotarłeś do końca. Zbieramy obecnie dane pośród naszych czytelników dotyczących ich podejścia do zarobków programistów. Jeżeli masz dosłownie 10 sekund – będziemy wdzięczni, jeśli odpowiesz na poniższe pytanie.
Źródło: TechCrunch. Zdjęcie otwierające: CSC ServiceWorks / materiały prasowe
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.