Estudantes Universitários Descobrem Vulnerabilidade em Mais de Um Milhão de Máquinas de Lavar Conectadas à Internet
Dois estudantes universitários identificaram uma falha de segurança significativa que permite que qualquer pessoa use máquinas de lavar conectadas à internet sem pagar. A vulnerabilidade, presente em mais de um milhão de máquinas operadas pela CSC ServiceWorks, foi reportada no início deste ano pelos alunos Alexander Sherbrooke e Iakov Taranenko, da Universidade da Califórnia, em Santa Cruz.
Sherbrooke relatou ao TechCrunch que a descoberta ocorreu em uma madrugada de janeiro enquanto estava na lavanderia do campus. Usando um script no laptop, ele conseguiu iniciar um ciclo de lavagem sem ter saldo em sua conta. A máquina respondeu imediatamente, indicando que estava pronta para lavar uma carga gratuitamente.
Os estudantes também conseguiram adicionar milhões de dólares em saldo fictício às suas contas de lavanderia, um valor exibido normalmente no aplicativo móvel CSC Go, como se fosse um saldo legítimo.
Após a publicação das descobertas, a CSC ServiceWorks emitiu uma declaração pedindo desculpas pela demora na resposta e agradecendo aos alunos pela identificação da falha. Stephen Gilbert, vice-presidente de marketing da CSC, afirmou que a empresa está investindo em várias iniciativas para fortalecer a segurança e anunciou a criação de um formulário de relatório de segurança no site da empresa.
Os alunos inicialmente tentaram contatar a CSC por meio do formulário de contato online e por telefone, mas não obtiveram resposta. Eles então encaminharam as descobertas ao Centro de Coordenação CERT da Universidade Carnegie Mellon, que ajudou a divulgar a falha.
A CSC ServiceWorks afirmou que trabalhou com fornecedores para corrigir o problema e que está aprimorando seu site para incluir um formulário de relatório de segurança.
Os estudantes descobriram que a vulnerabilidade residia na API usada pelo aplicativo CSC Go. Ao analisar o tráfego de rede, descobriram que os servidores da CSC aceitavam comandos que modificavam os saldos das contas, confiando nas verificações de segurança feitas pelo aplicativo no dispositivo do usuário. Isso permitiu que os comandos fossem enviados diretamente aos servidores do CSC, burlando as verificações de segurança.
Os pesquisadores destacaram que qualquer pessoa poderia criar uma conta no CSC Go e enviar comandos usando a API, pois os servidores não verificavam a propriedade dos endereços de e-mail fornecidos.
Sherbrooke e Taranenko alertaram sobre os perigos potenciais de ter aparelhos pesados conectados à internet e vulneráveis a ataques. Eles enfatizaram que não sabiam se a API poderia contornar as medidas de segurança das máquinas de lavar modernas, como a prevenção de superaquecimento.
Apesar de a CSC ter removido o saldo fictício das contas dos pesquisadores após a denúncia, a falha ainda permitia a doação de quantias de dinheiro arbitrárias.
Os alunos expressaram frustração pela falta de reconhecimento da CSC e destacaram a importância de ter um canal de comunicação dedicado para relatórios de segurança. Apesar disso, mantêm o compromisso de ajudar empresas a resolver problemas de segurança, ressaltando a importância e a diversão de conduzir pesquisas de segurança no mundo real.
Esta descoberta serve como um alerta para as empresas que dependem de dispositivos conectados à internet sobre a importância de robustas medidas de segurança e canais de comunicação eficientes para lidar com vulnerabilidades.
Via - TC
Comments