Santa Cruchen’deki California Üniversitesi’nin iki öğrencisi, CSC ServiceWorks ağının çamaşırlarını kontrol etmek için kullanılan CSC Go Çamaşırhanesi mobil uygulamasında bir güvenlik açığı buldu. Güvenlik açığı, çamaşır makinelerini sınırsız kez kullanmanızı sağlar.
Yıkama hizmetlerini kullanmak isteyen kullanıcılar CSC GO uygulamasını akıllı telefonlarına yüklemeli, bakiyeyi yenilemeli ve CSC ServiceWork yıkama makinesinde yıkama döngüsünü başlatmalıdır. CSC ServiceWorks, 90 yıldan fazla bir süredir ABD, Kanada ve Avrupa’daki konut binaları, oteller ve kolej kampüslerinde bir yıkama hizmeti sunmaktadır.
Güvenlik açığı, bu yılın Ocak ayında, öğrencilerden Alexander Sherbruk’un çamaşır makinesinin yeni yıkama döngüsünü uzaktan etkinleştirmesine izin veren bir senaryo başlatmaya çalıştığı ve çalıştığı keşfedildi. Buna ek olarak, öğrenciler CSC Mobile Go uygulamasındaki hesaplarından birinde dengeyi değiştirebildiler.
Öğrencilere göre, CSC ServiceWorks hala bu güvenlik açığının varlığını göz ardı ediyor ve düzeltme ihtiyacını reddediyor. Bir mobil uygulama tarafından kullanılan API’da güvenlik açığı vardır ve API’ya doğrudan erişim ve sunucu komutları listesini kullanarak ağdaki hemen hemen her çamaşır makinesiyle etkileşime girmenizi sağlar.
Öğrenciler, Carnegie Mellon Üniversitesi CERT Koordinasyon Merkezi’ne bir olay raporu bildirdi, bu da önerilerde bulundu ve güvenlik araştırmacılarının BALL’larda veri aktarmasına ve sorunun keşfedildiği şirketlerin güvenlik departmanlarıyla işbirliği çerçevesinde güvenlik açıklarını açıklamalarına yardımcı oldu.