Weltweit sind mehr als eine Million Waschmaschinen von dem Defekt betroffen

Weltweit sind mehr als eine Million Waschmaschinen von dem Defekt betroffen
Weltweit sind mehr als eine Million Waschmaschinen von dem Defekt betroffen
-

Vor einigen Monaten entdeckten zwei Studenten der University of California, Santa Cruz (UCSC) einen Fehler in der Anwendung, die den Zugang zu Waschmaschinen auf ihrem Campus ermöglichte. Durch die Ausnutzung des Verstoßes ist es möglich Wäsche kostenlos werfen. Im Detail ermöglicht die Lücke, über einen Computer aus der Ferne Befehle an Maschinen zu senden und Sicherheitsmechanismen zu umgehen.

Wie Alexander Sherbrooke, einer der Studenten hinter der Entdeckung, erklärt, gelang es ihm, mit der Waschmaschine auf seinem Campus zu kommunizierenein Skript, das von Ihrem Computer bereitgestellt wird. Dank der Anweisungen im Skript startete die Maschine. Er konnte Wäsche waschen, ohne seinen Kontostand in der App aufladen zu müssen, wie das online veröffentlichte Video zeigt. Mit demselben Fehler gelang es dem Duo auch, einem Konto mehr als eine Million Dollar gutzuschreiben.

Lesen Sie auch: Ebury, das beeindruckende Botnetz, das in 15 Jahren 400.000 Linux-Server gehackt hat

Nachlässige Kellner

Der Verstoß liegt in der API (Application Programming Interface) der mobilen Anwendung. Über diese Anwendungsprogrammierschnittstelle können Geräte über das Internet kommunizieren. Offenbar werden alle Sicherheitsüberprüfungen von der App auf dem Smartphone des Nutzers durchgeführt. Die Server sind so konfiguriert, dass sie alle eingehenden Anfragen genehmigen, was jeglichem Missbrauch Tür und Tor öffnet. Den Studierenden wurde schnell klar, dass es möglich ist, Anfragen direkt an die Server zu senden.

„Wir haben festgestellt, dass es keine Authentifizierung für das von Ihnen eingezahlte Geld gibt. Sie können den Servern also einfach sagen: „Ich habe 13 Millionen auf mein Konto eingezahlt und es war ein Erfolg“, und Sie erhalten eine Genehmigung.“detailliert die Studierenden in einem umfassenden Bericht.

Tatsächlich kann jeder ein Benutzerkonto erstellen und über die API Befehle an Server senden, warnen Studenten. Die Server machen sich auch nicht die Mühe, die Authentizität von E-Mail-Adressen zu überprüfen. Es ist möglich, ein Konto zu erstellen, ohne Zugriff auf die angegebene E-Mail-Adresse zu haben.

„Ich verstehe einfach nicht, wie ein so großes Unternehmen solche Fehler machen kann […] Im schlimmsten Fall überfordern die Leute ihren Geldbeutel leicht und das Unternehmen verliert eine Menge Geld.“Er wird von Iakov Taranenko, dem anderen Studenten hinter der Entdeckung, überrascht.

Mehr als eine Million Maschinen betroffen

Bedenken hinsichtlich der Sicherheitslücke Mehr als eine Million Waschmaschinen sind mit dem Internet verbunden in Wohnheimen und Campusgeländen auf der ganzen Welt, berichtet TechCrunch. CSC ServiceWorks, das Unternehmen, das die Maschinen betreibt, behauptet auf seiner Website, der „führende Anbieter von Wäschereilösungen“ in den Vereinigten Staaten, Kanada und Europa zu sein. Mehr als „40 Millionen Einwohner, Verbraucher, Immobilienverwalter und Eigentümer“ nutzen täglich die Infrastruktur der Gruppe.

CSC ServiceWorks wurde von den beiden Studenten alarmiert und machte sich nicht die Mühe, die Schwachstelle zu beheben. Angesichts der mangelnden Reaktion des Unternehmens alarmierten sie die Medien sowie das CERT-Koordinationszentrum der Carnegie Mellon University. Dadurch werden die Bemühungen zwischen Sicherheitsforschern und Unternehmen koordiniert, entdeckte Schwachstellen zu melden und sicherzustellen, dass diese schnell behoben werden. Allerdings wurde der Fehler zum Zeitpunkt des Verfassens dieses Artikels noch nicht behoben.

-

PREV Seeverkehr: die unverschämte gute Gesundheit des Hafens von Tanger Med
NEXT MORNING BID ASIA – Wir rechnen mit einer Flut chinesischer Daten