gongjingwe 发表于 2024-5-24 09:11:35

智能家居并非绝对安全!大学生发现CSC洗衣机漏洞,可无限白嫖



今年一月份,小编向大家分享过一个消息:某国际知名品牌洗衣机用户吐槽,称自己所购买的可联网的智能洗衣机,每天会产生、消耗3GB以上的数据流量,疑似遭到黑客的攻击,被黑,请参阅上图。
今天,小编要向大家介绍另外一个智能洗衣机存在漏洞的案例。请注意:小编说的是“存在漏洞”的案例,而不是“被攻击”、“被黑”的案例。
之所以这样称呼定性是因为在这个案例中,虽然洗衣机的功能确实遭到了“破解”,但实施的主体并不是怀有恶意目的的黑客,而是两名三观很正的大学生,他们在发现漏洞之后,主动地汇报给了洗衣机的拥有运营方,所以不能说是“被攻击”、“被黑”。



尽管如此,无论实施主体方主观意图如何,是善意的,还是恶意的,是恶意攻击,还是学习研究,客观事实都是一样的,那就是这种洗衣机存在着某种严重的安全漏洞。
言归正传,下面进入本文正题,详细介绍这个案例:
首先要搞清楚这种智能洗衣机的品牌的拥有方和运营者是谁?答案是CSC ServiceWorks公司,该公司主要在美国、加拿大和欧洲运营。



主要业务是提供自助洗衣服务,该公司在众多住宅社区、加油站、便利店、居民、酒店、度假村、学院和大学等地方设有投币式洗衣机,总数量约有100万台,这些智能洗衣机都必须联网。
要想使用CSC ServiceWorks公司提供的自助智能洗衣机,用户必须先下载安装该公司的应用程序,然后创建账户充值,每次洗涤将扣除一定的费用。



今年一月份,加州大学圣克鲁斯分校的两名学生亚历山大·舍布鲁克(Alexander Sherbrooke)和亚科夫·塔拉年科(Iakov Taranenko)发现了一种方法,可以破解CSC ServiceWorks公司的智能洗衣机,可以免费提供几乎无限次的洗涤服务,用数码圈内通俗易懂、喜闻乐见的说法,就是可以无限“白嫖”。
主要原因是CSC ServiceWorks公司的应用程序中存在安全漏洞,这两名大学生通过CSC的移动应用程序运行了一个特殊的定制脚本,可绕过服务器上的安全检查。



即使用户的账户里面没有余额,仍可使用这些自助智能洗衣机,更为夸张的是,用户还可以自行修改自己的账户余额。经过实测,学生在自己的洗衣账户中添加了数百万美元余额,而一切工作正常。
好在这两名大学生三观很正,并没有在第一时间恶意利用,或者公布、扩散这种漏洞,而是主动通报给了CSC ServiceWorks公司,并与该公司的客服进行了交谈,但他们没有收到任何积极的回应。
最后这两名学生将他们的发现提交给卡内基梅隆大学的CERT协调中心,该中心帮助安全研究人员向受影响的供应商披露漏洞,该机构通常会给供应商三个月的时间来修复漏洞,



在等待了三个多月后,也就是在今年5月,这两名学生才开始向公众公布他们的发现,据称CSC ServiceWorks公司最终清除了他们账户中虚假的数百万美元余额,但是仍然没有修复这个漏洞。CSC ServiceWorks公司的态度很令人失望,截至目前,该公司仍未对该事件进行任何回应置评。
这个案例也再次提醒大家:现在凡是可联网的智能家居设备,包括但不限于智能电视、空调、洗衣机、门铃和监视摄像头等等,都不是绝对的安全,仍然可能存在各种漏洞和风险,大家绝对不能够掉以轻心,一定要做好各种辅助防范措施。

左er 发表于 2024-5-24 14:19:54

我也顶起出售广告位

ororo 发表于 2024-5-26 13:28:09

没人回帖。。。我来个吧

3wingsun34 发表于 2024-5-27 08:02:53

确实不错,顶先
页: [1]
查看完整版本: 智能家居并非绝对安全!大学生发现CSC洗衣机漏洞,可无限白嫖