智能家居并非绝对安全！大学生发现CSC洗衣机漏洞，可无限白嫖

今年一月份，小编向大家分享过一个消息：某国际知名品牌洗衣机用户吐槽，称自己所购买的可联网的智能洗衣机，每天会产生、消耗3GB以上的数据流量，疑似遭到黑客的攻击，被黑，请参阅上图。
今天，小编要向大家介绍另外一个智能洗衣机存在漏洞的案例。请注意：小编说的是“存在漏洞”的案例，而不是“被攻击”、“被黑”的案例。
之所以这样称呼定性是因为在这个案例中，虽然洗衣机的功能确实遭到了“破解”，但实施的主体并不是怀有恶意目的的黑客，而是两名三观很正的大学生，他们在发现漏洞之后，主动地汇报给了洗衣机的拥有运营方，所以不能说是“被攻击”、“被黑”。



尽管如此，无论实施主体方主观意图如何，是善意的，还是恶意的，是恶意攻击，还是学习研究，客观事实都是一样的，那就是这种洗衣机存在着某种严重的安全漏洞。
言归正传，下面进入本文正题，详细介绍这个案例：
首先要搞清楚这种智能洗衣机的品牌的拥有方和运营者是谁？答案是CSC ServiceWorks公司，该公司主要在美国、加拿大和欧洲运营。



主要业务是提供自助洗衣服务，该公司在众多住宅社区、加油站、便利店、居民、酒店、度假村、学院和大学等地方设有投币式洗衣机，总数量约有100万台，这些智能洗衣机都必须联网。
要想使用CSC ServiceWorks公司提供的自助智能洗衣机，用户必须先下载安装该公司的应用程序，然后创建账户充值，每次洗涤将扣除一定的费用。



今年一月份，加州大学圣克鲁斯分校的两名学生亚历山大·舍布鲁克(Alexander Sherbrooke)和亚科夫·塔拉年科(Iakov Taranenko)发现了一种方法，可以破解CSC ServiceWorks公司的智能洗衣机，可以免费提供几乎无限次的洗涤服务，用数码圈内通俗易懂、喜闻乐见的说法，就是可以无限“白嫖”。
主要原因是CSC ServiceWorks公司的应用程序中存在安全漏洞，这两名大学生通过CSC的移动应用程序运行了一个特殊的定制脚本，可绕过服务器上的安全检查。



即使用户的账户里面没有余额，仍可使用这些自助智能洗衣机，更为夸张的是，用户还可以自行修改自己的账户余额。经过实测，学生在自己的洗衣账户中添加了数百万美元余额，而一切工作正常。
好在这两名大学生三观很正，并没有在第一时间恶意利用，或者公布、扩散这种漏洞，而是主动通报给了CSC ServiceWorks公司，并与该公司的客服进行了交谈，但他们没有收到任何积极的回应。
最后这两名学生将他们的发现提交给卡内基梅隆大学的CERT协调中心，该中心帮助安全研究人员向受影响的供应商披露漏洞，该机构通常会给供应商三个月的时间来修复漏洞，



在等待了三个多月后，也就是在今年5月，这两名学生才开始向公众公布他们的发现，据称CSC ServiceWorks公司最终清除了他们账户中虚假的数百万美元余额，但是仍然没有修复这个漏洞。CSC ServiceWorks公司的态度很令人失望，截至目前，该公司仍未对该事件进行任何回应置评。
这个案例也再次提醒大家：现在凡是可联网的智能家居设备，包括但不限于智能电视、空调、洗衣机、门铃和监视摄像头等等，都不是绝对的安全，仍然可能存在各种漏洞和风险，大家绝对不能够掉以轻心，一定要做好各种辅助防范措施。

我也顶起出售广告位

没人回帖。。。我来个吧

确实不错，顶先