NAUJIENŲ KATALOGAS

Pasaulio ir šalies naujienos

Du studentai atskleidžia saugumo klaidą, dėl kurios milijonai gali nemokamai išsiskalbti


Pora universiteto studentų teigia, kad anksčiau šiais metais rado ir pranešė apie saugumo trūkumą, leidžiantį visiems nemokėti už skalbinius, kuriuos teikia daugiau nei milijonas prie interneto prijungtų skalbimo mašinų rezidencijose ir koledžų miesteliuose visame pasaulyje.

Po kelių mėnesių pažeidžiamumas lieka atviras, kai tiekėjas CSC ServiceWorks pakartotinai ignoravo prašymus ištaisyti trūkumą.

UC Santa Cruz studentai Aleksandras Sherbrooke'as ir Iakovas Taranenko sakė TechCrunch, kad jų atrastas pažeidžiamumas leidžia bet kam nuotoliniu būdu siųsti komandas į CSC valdomas skalbimo mašinas ir nemokamai valdyti skalbimo ciklus.

Sherbrooke'as sakė, kad ankstų sausio rytą sėdėjo ant savo rūsio skalbyklos grindų su nešiojamuoju kompiuteriu rankoje ir „staiga išgyveno akimirką „oi…“. Iš savo nešiojamojo kompiuterio Sherbrooke'as paleido kodo scenarijų su instrukcijomis, nurodančiomis priešais jį esantį aparatą pradėti ciklą, nepaisant to, kad jo skalbinių sąskaitoje yra 0 USD. Mašina iš karto pabudo nuo garsaus pyptelėjimo ir ekrane mirgėjo užrašas „PUH START“, o tai reiškia, kad mašina yra paruošta išskalbti nemokamą skalbinių įkrovą.

Kitu atveju studentai į vieną iš savo skalbinių sąskaitų pridėjo kelių milijonų dolerių likutį, kuris atsispindėjo jų mobiliojoje programėlėje CSC Go taip, tarsi tai būtų visiškai įprasta pinigų suma, kurią studentas išleidžia skalbiniams.

„CSC ServiceWorks“ yra didelė skalbimo paslaugų įmonė, turinti daugiau nei milijono skalbimo mašinų tinklą, įrengtą viešbučiuose, universitetų miesteliuose ir rezidencijose Jungtinėse Amerikos Valstijose, Kanadoje ir Europoje.

Kadangi CSC ServiceWorks neturi specialaus saugos puslapio, skirto pranešti apie saugumo spragas, Sherbrooke'as ir Taranenko sausio mėnesį per savo internetinę kontaktinę formą išsiuntė įmonei keletą pranešimų, tačiau iš bendrovės nieko negavo. Telefono skambutis įmonei taip pat niekur nenuvedė, sakė jie.

Studentai taip pat nusiuntė savo išvadas į Carnegie Mellon universiteto CERT koordinavimo centrą, kuris padeda saugumo tyrėjams atskleisti trūkumus paveiktiems pardavėjams ir pateikti pataisymus bei patarimus visuomenei.

Dabar studentai atskleidžia daugiau apie savo išvadas, laukę ilgiau nei įprastai tris mėnesius, kuriuos saugumo tyrinėtojai paprastai suteikia pardavėjams, kad jie ištaisytų trūkumus prieš paskelbdami viešai. Pora pirmą kartą atskleidė savo tyrimą savo universiteto kibernetinio saugumo klube gegužės mėnesį.

Neaišku, kas yra atsakingas už kibernetinį saugumą CSC, o CSC atstovai neatsakė į „TechCrunch“ prašymus pakomentuoti.

Moksleiviai teigė, kad pažeidžiamumas yra API, kurią naudoja CSC mobilioji programėlė CSC Go. API leidžia programoms ir įrenginiams bendrauti tarpusavyje internetu. Tokiu atveju klientas atidaro programėlę CSC Go, kad papildytų savo sąskaitą lėšomis, sumokėtų ir šalia esančioje mašinoje pradėtų krauti skalbinius.

Sherbrooke'as ir Taranenko išsiaiškino, kad CSC serveriai gali būti apgauti, kad priimtų komandas, kurios modifikuoja jų sąskaitų likučius, nes bet kokias saugumo patikras atlieka programėlė vartotojo įrenginyje, o CSC serveriai jais automatiškai pasitiki. Tai leidžia jiems susimokėti už skalbinius neįnešant į savo sąskaitas realių lėšų.

Išanalizavę tinklo srautą prisijungę ir naudodami CSC Go programą, Sherbrooke'as ir Taranenko nustatė, kad gali apeiti programos saugos patikras ir siųsti komandas tiesiai į CSC serverius, kurių negalima pasiekti naudojant pačią programėlę.

Technologijų pardavėjai, tokie kaip CSC, galiausiai yra atsakingi už tai, kad jų serveriai atliktų tinkamus saugumo patikrinimus, kitaip tai panašu į tai, kad banko saugykla būtų apsaugota sargybinio, kuris nesivargina tikrinti, kas įleidžiamas.

Tyrėjai teigė, kad potencialiai kiekvienas gali susikurti CSC Go vartotojo abonementą ir siųsti komandas naudodamas API, nes serveriai taip pat netikrina, ar nauji vartotojai turi savo el. pašto adresus. Tyrėjai tai išbandė sukurdami naują CSC paskyrą su sukurtu el. pašto adresu.

Turėdami tiesioginę prieigą prie API ir remdamiesi CSC paskelbtu bendravimo su serveriais komandų sąrašu, tyrėjai teigė, kad nuotoliniu būdu galima rasti ir bendrauti su „kiekviena skalbimo mašina CSC ServiceWorks prijungtame tinkle“.

Praktiškai kalbant, nemokami skalbiniai turi akivaizdžių pranašumų. Tačiau tyrėjai pabrėžė galimą pavojų, kai galingi prietaisai yra prijungti prie interneto ir gali būti pažeidžiami atakų. Sherbrooke'as ir Taranenko teigė nežinoję, ar komandų siuntimas per API gali apeiti saugos apribojimus, kuriuos turi šiuolaikinės skalbimo mašinos, kad būtų išvengta perkaitimo ir gaisrų. Tyrėjai teigė, kad kas nors turės fiziškai paspausti skalbimo mašinos paleidimo mygtuką, kad pradėtų ciklą. Iki tol skalbimo mašinos priekinės dalies nustatymų negalima pakeisti, nebent kas nors iš naujo nustatys skalbimo mašinos nustatymus.

CSC tyliai nušlavė tyrėjų kelių milijonų dolerių likutį po to, kai jie pranešė apie savo atradimus, tačiau mokslininkai teigė, kad klaida lieka nepataisyta ir vartotojai vis tiek gali „laisvai“ skirti sau bet kokią pinigų sumą.

Taranenko sakė esąs nusivylęs, kad CSC nepripažino jų pažeidžiamumo.

„Tiesiog nesuprantu, kaip tokia didelė įmonė daro tokias klaidas, tada negali su jomis susisiekti“, – sakė jis. „Blogiausiu atveju žmonės gali lengvai pasikrauti savo pinigines ir įmonė praranda daugybę pinigų, kodėl gi neišleidus minimalaus minimumo turėdami vieną stebimą saugos el. pašto dėžutę tokioms situacijoms?

Tačiau tyrėjų negąsdina CSC atsakymo trūkumas.

„Kadangi tai darome sąžiningai, aš neprieštarauju praleisti kelias valandas laukdamas, kol paskambinsiu jų pagalbos tarnybai, jei tai padėtų įmonei išspręsti saugumo problemas“, – sakė Taranenko ir pridūrė, kad „buvo smagu atlikti tokio tipo saugumo tyrimus realiame pasaulyje, o ne tik modeliuojamose varžybose.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Miesto naujienos - Šeimos gydytojai - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai - Teniso treniruotės - Pranešimai spaudai -