2人のサンタクルーズ大学生がセキュリティバグを発見、誰でも無料で洗濯ができるようになる

大学の2人の学生が、今年初めに報告したセキュリティの欠陥により、100万台以上のインターネットに接続された洗濯機の利用料を支払わずに済む方法を見つけたと述べています。

ベンダーであるCSC ServiceWorksは、欠陥を修正するように何度も無視しました。

公開後、CSCはTechCrunchに謝罪の声明を提供し、早急に対応しなかったことと、学生たちが調査結果を報告してくれたことに感謝を述べました。 CSCは、「​​今後のインシデントに対応するために、私たちをより強力な組織にし、よりセキュリティに強い組織にするためのいくつかの取り組みに投資している」と付け加えました。

UCサンタクルーズの学生であるアレクサンダー・シャーブルックとイアコフ・タランエンコは、発見した脆弱性により、CSCが運営する洗濯機にリモートでコマンドを送信し、無料で洗濯サイクルを実行できるようになったとTechCrunchに語りました。

シャーブルックは、ある1月の早朝、ラップトップを手に地下の洗濯室の床に座っており、「突然‘あ、しまった’と思いました」と語りました。シャーブルックは、ラップトップから、直面している機械に$0の洗濯アカウントを持っていてもサイクルを開始するように指示するコードのスクリプトを実行しました。機械は即座に大きなビープ音を立てて目覚め、ディスプレイに「PUSH START」と表示され、無料の洗濯をする準備が整ったことを示しました。

別のケースでは、学生たちは自分たちの洗濯アカウントに数百万ドルという見せかけの残高を追加しましたが、CSC Goモバイルアプリでは、それが学生が洗濯に使う完全に普通の金額であるかのように反映されていました。

CSC ServiceWorksは、アメリカ、カナダ、ヨーロッパのホテル、大学キャンパス、住宅に設置された100万台以上の洗濯機を持つ大規模な洗濯サービス会社です。

CSC ServiceWorksはセキュリティの脆弱性を報告するための専用のセキュリティページを備えていなかったため、シャーブルックとタランエンコは1月にそのオンライン連絡フォームを通じて何度か会社にメッセージを送りましたが、返事は何もありませんでした。会社に電話することも何も進展しなかったと彼らは述べています。

学生たちはまた、セキュリティ研究者が被影響ベンダーに欠陥を開示し、修正と一般向けのガイダンスを提供するカーネギーメロン大学のCERT調整センターにその調査結果を送りました。

学生たちは、一般的にセキュリティ研究者が欠陥を公開する前にベンダーに3か月間の猶予期間を設ける慣行期間を過ぎた後で、調査結果についてさらに詳しく明らかにしています。この2人は5月に大学のサイバーセキュリティクラブでのプレゼンテーションで最初に調査結果を公開しました。

CSCが誰であれ、セキュリティに監督しているかは不明であり、本記事の公開前にCSCの代表者はTechCrunchのコメント要求に応じませんでした。

本記事が公開された数日後、CSCはセキュリティ研究者に感謝する声明を発表しました。CSCのマーケティング部門担当副社長のスティーブン・ギルバートは、「私たちのような企業やステークホルダーをより安全にするために貢献してくれたシャーブルック氏とタランエンコ氏に感謝したいと思います。彼らにすぐに対応しなかったことをお詫び申し上げます」と述べました。

CSCは、同社が「供給ベンダーと緊密に連携してこの問題を解決した」とし、CSCが「会社に提起されたセキュリティ問題を直ちに確認して対処するためのセキュリティ報告フォームを含むウェブサイトを更新している」と付け加えました。

学生研究者たちは、CSCのモバイルアプリであるCSC Goで使用されているAPIで脆弱性を発見したと述べました。APIは、インターネット上でアプリやデバイス間で通信を行うためのものです。この場合、顧客はCSC Goアプリを開いて自分のアカウントに資金を追加し、支払いをし、近くの機械で洗濯を始めます。

シャーブルックとタランエンコは、CSCのサーバーが、セキュリティチェックを行うためにアプリがユーザーのデバイスで行い、CSCのサーバーが自動的に信頼するため、アカウント残高を修正するコマンドを受け入れるようにだまされ得ることを発見しました。

ログインしてCSC Goアプリを使用した際のネットワークトラフィックを分析することで、シャーブルックとタランエンコはアプリのセキュリティチェックを回避し、CSCのサーバーに直接コマンドを送信できることを見つけました。

CSCのようなテクノロジーベンダーは、サーバーが適切なセキュリティチェックを行っていることを確認する責任があります。さもないと、誰が入場を許可されているかを確認しないガードによって保護された銀行金庫と同様です。

研究者たちは、おそらく誰でもCSC Goユーザーアカウントを作成してAPIを使用してコマンドを送信できる可能性があると述べました。研究者たちは、架空のメールアドレスで新しいCSCアカウントを作成することで、これをテストしました。

APIへの直接アクセスと、CSCが公開しているコマンドのリストを参照することで、研究者らは「CSC ServiceWorksに接続されたネットワーク上のすべての洗濯機を遠隔操作できる」と説明しました。

実用的には、無料の洗濯は明らかな利点があります。しかし、研究者はインターネットに接続され、攻撃に対して脆弱な重い機器を持つことの危険性を強調しました。シャーブルックとタランエンコは、APIを介してコマンドを送信することが、現代の洗濯機の過熱や火災を防止するための安全制限を迂回できるかどうかを把握していないと述べました。研究者たちは、実際には誰かが洗濯機のスタートボタンを物理的に押すまで、サイクルを開始することはできず、それまで、洗濯機の前面の設定は誰かがリセットするまで変更できません。

CSCは、研究者らが調査結果を報告した後、数百万ドルのアカウント残高を静かに消し去りましたが、研究者らはユーザーがまだ「自由に」自分に任意の金額を与えることができる可能性があると述べました。

タランエンコは、CSCが彼らの脆弱性を認めなかったことに失望していると述べました。

「そのような大企業がそういったミスを犯し、それについての連絡方法を持っていないのかがわかりません」と彼は述べました。「最悪の場合、人々は簡単に財布を積み重ねて、会社が多額の損失を被る可能性があります。なぜこのタイプの状況のために監視されているセキュリティメール受信トレイだけでも設ける最低限の費用をかけないのでしょうか?」

しかし、研究者らはCSCからの応答の欠如に断念していません。

「私たちは善意でやっているので、このようなセキュリティの問題を解決するために数時間待機してヘルプデスクに電話することは問題ありません」とタランエンコは述べ、「リアルな世界でこのタイプのセキュリティ研究を行うことができ、模擬競技だけでなく楽しいです」と付け加えました。

5月22日にCSCからコメントを受けて記事を更新しました。

シンプルなセキュリティバグが大学キャンパスの「マスターキー」となった方法