Una falla nella sicurezza delle lavatrici smart di residence e campus universitari di tutto il mondo permette a milioni di studenti di fare il bucato gratis ogni giorno. A rivelarlo sono Alexander Sherbrooke e Iakov Taranenko, iscritti all’università di Santa Cruz, che hanno scoperto una vulnerabilità che permette a chiunque di inviare da remoto comandi alle lavatrici gestite da CSC ServiceWorks, società che gestisce servizi di lavanderia in US, Canada ed Europa. Secondo quanto raccontato dai due studenti a TechCrunch, questa scoperta è stata del tutto casuale.
In una fredda mattina di gennaio Sherbrooke era seduto sul pavimento della lavanderia del suo campus, quando ha messo a punto un codice per chiedere alla lavatrice smart di fronte a lui di avviare un ciclo di lavaggio, nonostante non avesse denaro a sufficienza per pagare il servizio. Nel giro di pochi secondi, la scritta “Push Start” ha cominciato a lampeggiare sul display e l’elettrodomestico ha avviato il suo ciclo come se niente fosse. Allo stesso modo, gli studenti sono riusciti a caricare milioni di dollari sul conto della lavanderia, così da poter utilizzare le lavatrici CSC a proprio piacimento, senza dover spendere denaro.
Una volta che si sono resi conto che il sistema della compagnia di lavanderia aveva una falla bella grossa nella sicurezza, Sheerbrooke e Taranenko hanno cercato subito di mettersi in contatto con la CSC ServiceWorks, senza ottenere alcuna risposta – fatta eccezione per la cancellazione del conto che erano riusciti a riempire con milioni di dollari -. Di loro spontanea volontà, quindi, hanno approfondito la questione, arrivando a scoprire che la vulnerabilità in questione si trova nell’API utilizzata dall’applicazione mobile di CSC, CSC Go. Più nel dettaglio, gli studenti hanno notato che i server della compagnia possono essere indotti a ritenere validi comandi che modificano il loro saldo, perché tutti i controlli di sicurezza avvengono soltanto a livello dell’app. Questo il significa che gli utenti più esperti possono comunicare direttamente con i server di CSC, inviando dei comandi che non sono neppure presenti sulla sua applicazione.
“Non capisco come un’azienda così grande possa commettere questo tipo di errori e senza che ci sia un modo per contattarli. Nel peggiore dei casi, le persone possono riempire di soldi i loro conti e l’azienda finisce con il perdere una tonnellata di denaro. Perché, allora, non spendere qualcosa per avere una casella di posta elettronica di sicurezza monitorata per questo tipo di situazioni?”, ha commentato Taranenko a proposito della mancata risposta da parte della compagnia di lavanderia, che ancora oggi sembra totalmente disinteressata alla questione.
Fonte : Wired
