Una coppia di studenti universitari afferma di aver scoperto e segnalato all'inizio di quest'anno una falla di sicurezza che consente a chiunque di evitare di pagare per il servizio lavanderia fornito da oltre un milione di lavatrici connesse a Internet in residenze e campus universitari di tutto il mondo.

Mesi dopo, la vulnerabilità rimane aperta dopo che CSC ServiceWorks ha ripetutamente ignorato le richieste di risolvere il problema.

Gli studenti dell'UC Santa Cruz Alexander Sherbrooke e Iakov Taranenko hanno riferito a TechCrunch che la vulnerabilità che hanno scoperto consente a chiunque di inviare comandi in remoto alle lavatrici gestite da CSC e far funzionare i cicli di lavaggio gratuitamente.

Sherbrooke ha raccontato di essere seduto per terra nella lavanderia del seminterrato nelle prime ore di una mattina di gennaio con il laptop in mano e di aver improvvisamente avuto un momento di 'oh accidenti'. Dal suo laptop, Sherbrooke ha eseguito uno script di codice con istruzioni che dicevano alla macchina di fronte a lui di avviare un ciclo nonostante avesse $0 nel suo account lavanderia. La macchina si è immediatamente accesa con un forte segnale acustico e ha mostrato "PUSH START" sul display, indicando che la macchina era pronta per lavare gratuitamente un carico di biancheria.

CSC ServiceWorks è una grande azienda di servizi di lavanderia, vantando una rete di oltre un milione di lavatrici installate in hotel, campus universitari e residenze negli Stati Uniti, in Canada e in Europa.

Poiché CSC ServiceWorks non ha una pagina dedicata alla sicurezza per segnalare vulnerabilità di sicurezza, Sherbrooke e Taranenko hanno inviato diversi messaggi alla società tramite il modulo di contatto online a gennaio, ma non hanno ricevuto risposta. Anche una chiamata telefonica alla società non li ha portati da nessuna parte, hanno detto.

Gli studenti hanno anche inviato le loro scoperte al CERT Coordination Center presso l'Università Carnegie Mellon, che aiuta i ricercatori di sicurezza a divulgare le falle ai fornitori interessati e a fornire correzioni e orientamenti al pubblico.

Gli studenti stanno ora rivelando ulteriori dettagli sulle loro scoperte dopo aver atteso più a lungo del consueto periodo di tre mesi concesso di solito dai ricercatori di sicurezza ai fornitori per risolvere i problemi prima di renderli pubblici. La coppia ha inizialmente divulgato la loro ricerca in una presentazione al club di ciber sicurezza dell'università all'inizio di maggio.

Non è chiaro chi, se esiste qualcuno, sia responsabile della cybersicurezza presso CSC, e i rappresentanti di CSC non hanno risposto alle richieste di commento di TechCrunch.

I ricercatori studenti hanno detto che la vulnerabilità è nell'API utilizzata dall'app mobile di CSC, CSC Go. Un'API consente alle app e ai dispositivi di comunicare tra loro su Internet. In questo caso, il cliente apre l'app CSC Go per ricaricare il proprio account con fondi, pagare e avviare un ciclo di lavanderia su una macchina vicina.

Sherbrooke e Taranenko hanno scoperto che i server di CSC possono essere ingannati nell'accettare comandi che modificano i saldi dei loro account perché eventuali controlli di sicurezza sono eseguiti dall'app sul dispositivo dell'utente e sono automaticamente fidati dai server di CSC. Questo permette loro di pagare per il servizio lavanderia senza effettivamente inserire fondi reali nei loro account.

Analizzando il traffico di rete mentre erano connessi e utilizzavano l'app CSC Go, Sherbrooke e Taranenko hanno scoperto di poter aggirare i controlli di sicurezza dell'app e inviare comandi direttamente ai server di CSC, che non sono disponibili attraverso l'app stessa.

I fornitori tecnologici come CSC sono responsabili ultimi per assicurarsi che i loro server effettuino i corretti controlli di sicurezza; in caso contrario, è come avere una cassaforte protetta da una guardia che non si preoccupa di controllare chi è autorizzato a entrare.

I ricercatori hanno detto che potenzialmente chiunque può creare un account utente di CSC Go e inviare comandi utilizzando l'API poiché i server non controllano neanche se i nuovi utenti possiedono i loro indirizzi email. I ricercatori hanno testato ciò creando un nuovo account CSC con un indirizzo email inventato.

Con l'accesso diretto all'API e facendo riferimento alla lista di comandi pubblicata da CSC per comunicare con i suoi server, i ricercatori hanno detto che è possibile individuare e interagire remotamente con "ogni macchina lavanderia sulla rete CSC ServiceWorks collegata".

Più concretamente, la possibilità di lavare gratuitamente ha un lato positivo evidente. Ma i ricercatori hanno sottolineato i potenziali pericoli di avere elettrodomestici pesanti collegati a Internet e vulnerabili agli attacchi. Sherbrooke e Taranenko hanno detto di non sapere se inviare comandi tramite l'API possa bypassare le restrizioni di sicurezza che le moderne lavatrici hanno per impedire il surriscaldamento e gli incendi. I ricercatori hanno detto che qualcuno dovrebbe fisicamente premere il pulsante di avvio della lavatrice per avviare un ciclo; fino ad allora, le impostazioni sul pannello della lavatrice non possono essere cambiate a meno che qualcuno non reimposti la macchina.

CSC ha cancellato silenziosamente il saldo dell'account dei ricercatori di diversi milioni di dollari dopo aver segnalato le loro scoperte, ma i ricercatori hanno detto che il bug rimane non risolto ed è ancora possibile per gli utenti "darsi" liberamente qualsiasi quantità di denaro.

Taranenko ha detto di essere deluso dal fatto che CSC non abbia riconosciuto la loro vulnerabilità.

“Non capisco come un'azienda così grande possa fare questi tipi di errori, poi non ha modo di contattarli,” ha detto. “Nel peggiore dei casi, le persone possono facilmente caricare i loro portafogli e l'azienda perde un sacco di soldi. Perché non spendere il minimo indispensabile per avere una sola casella di posta elettronica di sicurezza monitorata per questo tipo di situazione?”

Ma i ricercatori non si lasciano scoraggiare dalla mancanza di risposta da parte di CSC. “Poiché stiamo facendo questo in buona fede, non mi dispiace passare qualche ora in attesa al telefono per chiamare il loro servizio di assistenza se ciò potesse aiutare un'azienda con i suoi problemi di sicurezza,” ha detto Taranenko, aggiungendo che era “divertente poter fare questo tipo di ricerca di sicurezza nel mondo reale e non solo in competizioni simulate.”