Поделиться
Миллионы «умных» стиральных машин можно легко взломать из-за безумной уязвимости. Производителю все равно, он не принимает багрепорты
Калифорнийские студенты нашли способ не платить за услуги и пополнять счета на миллионы фальшивых долларов в прачечной с умными стиральными машинами, подключенными к Сети и управляемыми через мобильное приложение. В этом им помогла уязвимость API сервиса для удаленного управления устройствами , реализованного с поразительной небрежностью. К удивлению выявивших брешь молодых людей, компании, управляющей сетью из более чем миллиона уязвимых стиральных машин в Северной Америке и Европе, совершенно нет дела до «бага», который способен лишить ее прибыли.Полезный баг
Студенты Калифорнийского университета (Санта-Круз, Калифорния, США) Александр Шербрук (Alexander Sherbrooke) и Яков Тараненко обнаружили в подключенных стиральных машинах компании CSC ServiceWorks для коммерческих прачечных уязвимость, которая позволяет пользоваться устройствами совершенно бесплатно.
Для получения доступа к функциональности устройств CSC используется фирменное мобильное приложение компании под названием CSC Go. С его помощью можно пополнять личный счет, запускать и контролировать процесс стирки.
Однако, как установили молодые люди, бэкенд (серверная часть сервиса, с которой взаимодействует клиентское приложение) CSC принимает любые команды, отправленные удаленным пользователем в обход приложения, и беспрекословно их выполняет, не обращая внимания на такие мелочи, как, например, полное отсутствие средств на счету.
Брешь также позволяет пополнять встроенный в приложение кошелек, с которого списывается оплата за услуги умной прачечной – причем без каких-либо реальных затрат и на абсурдно огромные суммы. Шербрук и Тараненко, к примеру, таким образом приписали себе несколько миллионов долларов, не потратив ни цента.
Когда вендору нет дела до уязвимости
CSC ServiceWorks управляет сетью умных стиральных машин, размещенных в гостиницах, кампусах университетов и жилых многоэтажных домах на территории США, Канады и Европы. Всего парк устройств компании насчитывает более 1 млн единиц.
Шербрук и Тараненко неоднократно предпринимали попытки связаться с представителями CSC, чтобы сообщить о выявленной бреши, однако все они оказались безуспешными. На официальном сайте CSC формы или контактов для отправки багрепортов не оказалось. Несколько сообщений, отправленных студентами по электронному адресу компании в январе 2024 г., до сих пор остаются без ответа. Телефонный звонок также не принес никакого результата.
В поисках способа достучаться до разработчиков молодые люди направили сообщение в Координационный центр CERT (Университет Карнеги-Меллона), который помогает исследователям в области безопасности устанавливать контакты с затронутыми проблемой вендорами, а также обнародует исправления и рекомендации, ориентированные на широкую публику.
Студенты продолжают раскрывать все больше деталей, касающихся бреши, предварительно выждав три месяца – именно такой срок, как правило, дается разработчикам уязвимого продукта на устранение проблемы до публичного раскрытия информации о «дыре».
По-прежнему остается неизвестным, кто именно в CSC отвечает за кибербезопасности продуктов и вообще предусмотрена ли такая позиция штатным расписанием компании. Представители компании продолжают игнорировать не только исследователей в сфере безопасности, но и СМИ – на вопросы TechCrunch в CSC не ответили.
Безумные бреши в API
Согласно выводам Шербрука и Тараненко, сервис CSC уязвим на уровне API, к которому обращается мобильное приложение CSC Go. API обеспечивает взаимодействие приложений и устройств экосистемы компании через интернет.
Молодые люди обнаружили, что серверная часть сервиса может принимать команды, отправленные пользователем напрямую, без выполнения проверок. Некоторые из этих команд не реализованы в мобильном приложении.
По словам исследователей, в теории кто угодно может создать пользовательскую учетную запись CSC Go и спокойно обращаться к API в обход приложения. При этом бэкенд даже не удосуживается выполнить проверку владения пользователем адресом электронной почты, указанным при регистрации, – вместо реально существующего e-mail можно указать произвольный адрес, не связанный с каким-либо почтовым сервисом. Проверка наличия достаточного количества денежных средств на счету реализована на уровне мобильного приложения. Ее результатам сервер слепо доверяет. Данные «особенности» CSC Go студенты подтвердили экспериментально.
Молодые люди утверждают, что наличие в свободном доступе документации по API CSC Go и отсутствие необходимых проверок на стороне сервера позволяют удаленно идентифицировать и контролировать любую стиральную машину, входящую в сеть вендора.
Возможность использования устройства без внесения платы – наименьшая из проблем, связанных с наличием уязвимого API сервиса, во всяком случае, для клиентов прачечных. Шербрук и Тараненко пока не знают наверняка, позволяет ли брешь на стороне сервера CSC Go отдавать машинам команды в обход встроенных в них систем защиты от перегрева и возгорания. Если брешь действительно настолько серьезна, ее эксплуатация может привести к по-настоящему катастрофическим последствиям.
Впрочем, по словам молодых людей, полностью удаленно запустить стиральную машину CSC нельзя, поскольку для начала очередного цикла стирки требуется нажатие физической кнопки «Старт», расположенной на приборной панели девайса. До этого изменение параметров работы устройства невозможно.
Тишина в эфире не помешает продолжению борьбы
С некоторой степенью уверенности можно сказать, что в CSC все же получили одно или несколько сообщений, отправленных студентами-исследователями. Об этом свидетельствует тот факт, что спустя некоторое время после попытки установить контакт с компанией аккаунт молодых людей с несколькими миллионами долларов на счету был обнулен. Однако баг, который позволил начислить эти несуществующие средства так и не исправлен, не скрывают своего разочарования Шербрук и Тараненко.
Однако же сдаваться исследователи не собираются. «Поскольку мы делаем это добросовестно, я не против потратить несколько часов на ожидание при звонке в службу поддержки, если это поможет компании решить проблемы безопасности, – сказал Тараненко, добавив, что «было интересно получить возможность проводить такого рода исследования безопасности в реальном мире, а не только в соревнованиях при смоделированных сценариях».
В 2019 г. российская исследовательница обнаружила в умных кормушках Xiaomi Furrytail уязвимость, через которую можно было прекратить подачу еды всем домашним животным, которые из них едят. Поскольку кормушки используются, когда хозяева надолго уезжают из дома, это может окончиться смертью питомцев. Исследовательница утверждала, что у нее есть доступ ко всем активным кормушкам такого типа.
Поделиться
Короткая ссылка
