تقنية

اكتشف طالبان ثغرة أمنية قد تسمح للملايين بغسل ملابسهم مجانًا


قال اثنان من طلاب الجامعة إنهما اكتشفا وأبلغا في وقت سابق من هذا العام عن ثغرة أمنية تسمح لأي شخص بتجنب دفع ثمن غسيل الملابس الذي توفره أكثر من مليون ماكينة غسيل متصلة بالإنترنت في المساكن والحرم الجامعي حول العالم.

وبعد أشهر، تظل الثغرة الأمنية مفتوحة بعد أن تجاهل البائع، CSC ServiceWorks، بشكل متكرر طلبات إصلاح الخلل.

أخبر طلاب جامعة كاليفورنيا في سانتا كروز، ألكسندر شيربروك وإياكوف تارانينكو، موقع TechCrunch أن الثغرة الأمنية التي اكتشفوها تسمح لأي شخص بإرسال الأوامر عن بعد إلى آلات الغسيل التي تديرها CSC وتشغيل دورات الغسيل مجانًا.

قال شيربروك إنه كان يجلس على أرضية غرفة الغسيل في الطابق السفلي من منزله في الساعات الأولى من صباح أحد أيام شهر يناير وكان يحمل جهاز الكمبيوتر المحمول في يده، و”فجأة شعر بلحظة “يا إلهي”.” من جهاز الكمبيوتر المحمول الخاص به، قام شيربروك بتشغيل نص برمجي يحتوي على تعليمات تخبر الآلة الموجودة أمامه ببدء دورة على الرغم من عدم وجود أي دولار في حساب الغسيل الخاص به. استيقظت الماكينة على الفور بإصدار صوت تنبيه عالي وتومض رسالة “PUSH START” على شاشتها، مما يشير إلى أن الماكينة جاهزة لغسل حمولة مجانية من الغسيل.

وفي حالة أخرى، أضاف الطلاب رصيدًا ظاهريًا يبلغ عدة ملايين من الدولارات إلى أحد حسابات غسيل الملابس الخاصة بهم، وهو ما انعكس في تطبيق الهاتف المحمول CSC Go الخاص بهم كما لو كان مبلغًا عاديًا تمامًا من المال ينفقه الطالب على غسيل الملابس.

CSC ServiceWorks هي شركة كبيرة تقدم خدمات غسيل الملابس، وتروج لشبكة تضم أكثر من مليون ماكينة غسيل مثبتة في الفنادق والحرم الجامعي والمساكن في جميع أنحاء الولايات المتحدة وكندا وأوروبا.

نظرًا لأن CSC ServiceWorks لا تحتوي على صفحة أمان مخصصة للإبلاغ عن الثغرات الأمنية، أرسل شيربروك وتارانينكو عدة رسائل للشركة من خلال نموذج الاتصال عبر الإنترنت خلال شهر يناير، لكن لم يتلقوا أي رد من الشركة. وقالوا إن مكالمة هاتفية مع الشركة لم تصلهم إلى أي مكان أيضًا.

أرسل الطلاب أيضًا النتائج التي توصلوا إليها إلى مركز تنسيق CERT في جامعة كارنيجي ميلون، والذي يساعد الباحثين الأمنيين على الكشف عن العيوب للبائعين المتأثرين وتوفير الإصلاحات والإرشادات للجمهور.

ويكشف الطلاب الآن المزيد عن النتائج التي توصلوا إليها بعد انتظار فترة أطول من الأشهر الثلاثة المعتادة التي يمنحها الباحثون الأمنيون عادةً للبائعين لإصلاح العيوب قبل طرحها للعامة. وكشف الثنائي لأول مرة عن بحثهما في عرض تقديمي في نادي الأمن السيبراني بالجامعة في وقت سابق من شهر مايو.

ليس من الواضح من هو المسؤول عن الأمن السيبراني في CSC، إن وجد، ولم يستجب ممثلو CSC لطلبات TechCrunch للتعليق.

وقال الطلاب الباحثون إن الثغرة الأمنية موجودة في واجهة برمجة التطبيقات (API) التي يستخدمها تطبيق الهاتف المحمول الخاص بشركة CSC، CSC Go. تتيح واجهة برمجة التطبيقات (API) للتطبيقات والأجهزة التواصل مع بعضها البعض عبر الإنترنت. في هذه الحالة، يفتح العميل تطبيق CSC Go لتعبئة حسابه بالأموال، والدفع، وبدء تحميل الغسيل على آلة قريبة.

اكتشف شيربروك وتارانينكو أنه يمكن خداع خوادم CSC لقبول الأوامر التي تعدل أرصدة حساباتهم لأن أي فحوصات أمنية يتم إجراؤها بواسطة التطبيق على جهاز المستخدم وتثق بها خوادم CSC تلقائيًا. وهذا يسمح لهم بدفع ثمن غسيل الملابس دون وضع أموال حقيقية في حساباتهم.

ومن خلال تحليل حركة مرور الشبكة أثناء تسجيل الدخول واستخدام تطبيق CSC Go، اكتشف شيربروك وتارانينكو أن بإمكانهما التحايل على فحوصات أمان التطبيق وإرسال الأوامر مباشرة إلى خوادم CSC، والتي لا تتوفر من خلال التطبيق نفسه.

يتحمل بائعو التكنولوجيا مثل CSC المسؤولية النهائية عن التأكد من أن خوادمهم تقوم بإجراء فحوصات الأمان المناسبة، وإلا فإن الأمر يشبه وجود قبو بنك محمي بواسطة حارس لا يكلف نفسه عناء التحقق من الأشخاص المسموح لهم بالدخول.

قال الباحثون إنه من المحتمل أن يتمكن أي شخص من إنشاء حساب مستخدم CSC Go وإرسال الأوامر باستخدام واجهة برمجة التطبيقات لأن الخوادم لا تتحقق أيضًا مما إذا كان المستخدمون الجدد يمتلكون عناوين بريدهم الإلكتروني. اختبر الباحثون ذلك عن طريق إنشاء حساب CSC جديد باستخدام عنوان بريد إلكتروني مزيف.

من خلال الوصول المباشر إلى واجهة برمجة التطبيقات (API) والرجوع إلى قائمة الأوامر المنشورة الخاصة بشركة CSC للتواصل مع خوادمها، قال الباحثون إنه من الممكن تحديد موقع “كل ماكينة غسيل على شبكة CSC ServiceWorks المتصلة عن بعد والتفاعل معها”.

من الناحية العملية، الغسيل المجاني له جانب إيجابي واضح. لكن الباحثين شددوا على المخاطر المحتملة لوجود أجهزة ثقيلة متصلة بالإنترنت وعرضة للهجمات. قال شيربروك وتارانينكو إنهما لم يكونا على علم بما إذا كان إرسال الأوامر عبر واجهة برمجة التطبيقات يمكن أن يتجاوز قيود السلامة التي تأتي بها آلات الغسيل الحديثة لمنع ارتفاع درجة الحرارة والحرائق. وقال الباحثون إن على شخص ما أن يضغط فعليًا على زر تشغيل الغسالة لبدء الدورة، وحتى ذلك الحين لا يمكن تغيير الإعدادات الموجودة في الجزء الأمامي من ماكينة الغسيل ما لم يقوم شخص ما بإعادة ضبط الغسالة.

قامت شركة CSC بمسح رصيد حساب الباحثين الذي يبلغ عدة ملايين من الدولارات بهدوء بعد أن أبلغوا عن النتائج التي توصلوا إليها، لكن الباحثين قالوا إن الخطأ لم يتم إصلاحه ولا يزال من الممكن للمستخدمين منح أنفسهم “بحرية” أي مبلغ من المال.

قال تارانينكو إنه يشعر بخيبة أمل لأن CSC لم تعترف بضعفها.

وقال: “لا أفهم كيف ترتكب شركة بهذا الحجم مثل هذه الأخطاء دون أن يكون لديها وسيلة للاتصال بهم”. “في أسوأ السيناريوهات، يمكن للأشخاص بسهولة تحميل محافظهم وتخسر ​​الشركة الكثير من المال، فلماذا لا تنفق الحد الأدنى من الحصول على صندوق بريد إلكتروني آمن واحد مراقب لهذا النوع من المواقف؟”

لكن الباحثين لا يترددون بسبب عدم استجابة لجنة CSC.

قال تارانينكو: “نظرًا لأننا نقوم بذلك بحسن نية، فلا أمانع في قضاء بضع ساعات في الانتظار للاتصال بمكتب المساعدة الخاص بهم إذا كان ذلك سيساعد الشركة في حل مشكلاتها الأمنية”، مضيفًا أنه “كان من الممتع أن علينا أن نقوم بهذا النوع من الأبحاث الأمنية في العالم الحقيقي، وليس فقط في المسابقات التي تتم محاكاتها.”


اكتشاف المزيد من موقع fffm

اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

اكتشاف المزيد من موقع fffm

اشترك الآن للاستمرار في القراءة والحصول على حق الوصول إلى الأرشيف الكامل.

Continue reading