Due studenti di Santa Cruz scoprono bug di sicurezza che permetteva a chiunque di fare il bucato gratuitamente
Una coppia di studenti universitari ha affermato di aver scoperto e segnalato all'inizio di quest'anno una falla di sicurezza che permetteva a chiunque di evitare di pagare il bucato offerto da oltre un milione di lavatrici connesse a Internet.
Il fornitore, CSC ServiceWorks, ha ripetutamente ignorato le richieste di risolvere il difetto.
Successivamente alla pubblicazione, CSC ha fornito a TechCrunch una dichiarazione scusandosi per non aver risposto prima e ringraziando gli studenti per aver segnalato le loro scoperte. CSC ha aggiunto che sta "investendo in diverse iniziative che ci renderanno un'organizzazione più forte e più resiliente alla sicurezza per incidenti futuri."
Gli studenti dell'UC Santa Cruz Alexander Sherbrooke e Iakov Taranenko hanno detto a TechCrunch che la vulnerabilità che hanno scoperto permetteva a chiunque di inviare comandi a distanza alle lavatrici gestite da CSC e azionare cicli di lavaggio gratuitamente.
Sherbrooke ha detto di essere seduto sul pavimento della lavanderia del seminterrato nelle prime ore di un mattino di gennaio con il laptop in mano e di aver improvvisamente avuto un momento di realizzazione. Dal suo laptop, Sherbrooke ha eseguito uno script di codice con istruzioni che dicevano alla macchina davanti a lui di avviare un ciclo nonostante non avesse denaro nel suo account per il bucato. La macchina si è subito accesa con un beep forte e ha mostrato "PREMI START" sul suo display, indicando che la macchina era pronta per lavare un carico di bucato gratuito.
In un altro caso, gli studenti hanno aggiunto un saldo ostensibile di diversi milioni di dollari in uno dei loro account per il bucato, che compare nella loro app mobile CSC Go come se fosse una quantità del tutto normale per uno studente da spendere per il bucato.
CSC ServiceWorks è una grande società di servizi di lavanderia, vantando una rete di oltre un milione di lavatrici installate in hotel, campus universitari e residenze negli Stati Uniti, Canada ed Europa.
Visto che CSC ServiceWorks non aveva una pagina dedicata alla sicurezza per segnalare vulnerabilità, Sherbrooke e Taranenko hanno inviato diversi messaggi alla società tramite il modulo di contatto online a gennaio, ma non hanno ricevuto risposta. Anche una chiamata alla società non li ha portati da nessuna parte, hanno detto.
Gli studenti hanno anche inviato le loro scoperte al CERT Coordination Center presso la Carnegie Mellon University, che aiuta i ricercatori di sicurezza a divulgare i difetti ai fornitori interessati e a fornire correzioni e indicazioni al pubblico.
Gli studenti stanno ora rivelando di più sulle loro scoperte dopo aver atteso più a lungo rispetto ai consueti tre mesi che i ricercatori di sicurezza concedono di solito ai fornitori per risolvere i difetti prima di renderli pubblici. La coppia ha prima divulgato la loro ricerca in una presentazione al club di sicurezza informatica dell'università all'inizio di maggio.
Non è chiaro chi, se qualcuno, sovraintenda alla sicurezza informatica presso CSC, e i rappresentanti di CSC non hanno risposto alle richieste di commento di TechCrunch prima della pubblicazione di questa storia.
I giorni dopo la pubblicazione di questa storia, CSC ha fornito una dichiarazione ringraziando i ricercatori di sicurezza. "Vorremmo ringraziare il signor Sherbrooke e il signor Taranenko per il loro contributo a rendere aziende come CSC ServiceWorks e i loro portatori di interessi più sicuri. Ci scusiamo per non aver risposto loro in maniera più tempestiva," ha detto Stephen Gilbert, vice presidente marketing di CSC.
CSC ha dichiarato che l'azienda "ha lavorato in stretta collaborazione con i nostri fornitori per risolvere questa questione," e che CSC sta anche aggiornando il proprio sito web per includere un modulo di segnalazione della sicurezza che permetterà all'azienda di "valutare immediatamente e affrontare problemi di sicurezza segnalati dal pubblico."
I ricercatori hanno detto di aver scoperto la vulnerabilità nell'API utilizzata dall'app mobile di CSC, CSC Go. Un'API consente alle app e ai dispositivi di comunicare tra loro su Internet. In questo caso, il cliente apre l'app CSC Go per ricaricare il proprio account con fondi, pagare e avviare un carico di bucato su una macchina vicina.
Sherbrooke e Taranenko hanno scoperto che i server di CSC potevano essere ingannati nell'accettare comandi che modificano i saldi dei loro account perché tutti i controlli di sicurezza sono eseguiti dall'app sul dispositivo dell'utente e sono automaticamente fidati dai server di CSC. Ciò permetteva loro di pagare per il bucato senza effettivamente mettere fondi reali nei loro account.
Analizzando il traffico di rete mentre erano loggati e utilizzavano l'app CSC Go, Sherbrooke e Taranenko hanno scoperto di poter aggirare i controlli di sicurezza dell'app e inviare comandi direttamente ai server di CSC, che non erano disponibili tramite l'app stessa.
I fornitori tecnologici come CSC sono alla fine responsabili di garantire che i loro server eseguano i controlli di sicurezza corretti; in caso contrario, è come avere una cassaforte di banca protetta da una guardia che non si prende la briga di controllare chi è autorizzato a entrare.
I ricercatori hanno detto che potenzialmente chiunque può creare un account utente CSC Go e inviare comandi utilizzando l'API perché i server non controllano nemmeno se i nuovi utenti possiedono i loro indirizzi email. I ricercatori hanno testato ciò creando un nuovo account CSC con un indirizzo email inventato.
Con accesso diretto all'API e facendo riferimento alla lista di comandi pubblicata da CSC per comunicare con i suoi server, i ricercatori hanno detto che era possibile localizzare e interagire remotamente con "ogni lavatrice sulla rete connessa di CSC ServiceWorks."
In termini pratici, il bucato gratuito ha un lato positivo evidente. Ma i ricercatori hanno sottolineato i potenziali pericoli di avere elettrodomestici pesanti collegati a Internet e vulnerabili ad attacchi. Sherbrooke e Taranenko hanno detto di non sapere se inviare comandi tramite l'API possa aggirare le restrizioni di sicurezza che le moderne lavatrici hanno per prevenire il surriscaldamento e incendi. I ricercatori hanno detto che qualcuno dovrebbe fisicamente premere il pulsante di avvio della lavatrice per avviare un ciclo; finché ciò non avviene, le impostazioni sul davanti della lavatrice non possono essere cambiate a meno che qualcuno non ripristini la macchina.
CSC ha cancellato silenziosamente il saldo dell'account dei ricercatori di diversi milioni di dollari dopo aver segnalato le loro scoperte, ma i ricercatori hanno detto che era comunque possibile per gli utenti dare "liberamente" a se stessi qualsiasi quantità di denaro.
Taranenko ha detto di essere deluso dal fatto che CSC non abbia riconosciuto la loro vulnerabilità.
"Non capisco come una così grande azienda possa fare quei tipi di errori, e poi non avere un modo per contattarli," ha detto. "Nel peggiore dei casi, le persone possono facilmente caricare i loro portafogli e l'azienda perde un sacco di soldi. Perché non spendere il minimo indispensabile per avere una sola casella email di sicurezza monitorata per questo tipo di situazione?"
Ma i ricercatori non sono scoraggiati dalla mancanza di risposta da parte di CSC.
"Poiché stiamo facendo tutto in buona fede, non mi dispiace spendere qualche ora in attesa al telefono per chiamare il loro servizio di assistenza se ciò potesse aiutare un'azienda con i suoi problemi di sicurezza," ha detto Taranenko, aggiungendo che era "divertente fare questo tipo di ricerca sulla sicurezza nel mondo reale e non solo in competizioni simulate."
Aggiornato il 22 maggio con un commento post-pubblicazione da parte di CSC.