Descubren vulnerabilidad en lavadoras para ciclos infinitos

Las fisuras de seguridad surgen en toda clase de dispositivos, no solo en computadoras o teléfonos móviles. Incluso puede ocurrir en electrodomésticos, ya que estos pueden tener chips, aplicaciones y conexión a la red donde un exploit puede ser utilizado para sacar provecho de todo eso. Así ha sucedido en un caso donde dos individuos han logrado explotar una vulnerabilidad que les permitía añadir millones de dólares en créditos para utilizar las lavadoras y obtener ciclos de lavado interminables.

El hecho de que tengamos la posibilidad de usar electrodomésticos conectados a Internet demuestra que estamos tratando de mantenerlos conectados. En realidad, la mayoría de estas máquinas a las que se les agrega funciones por conexión inalámbrica no suelen ser muy diferentes a las convencionales y básicamente nos permiten usar el teléfono móvil para manejarlas. A primera vista, puede no parecer muy útil, pero existen situaciones donde este tipo de electrodomésticos adquieren más sentido, como las lavadoras de pago que requieren una aplicación desde el móvil para acceder al servicio.

Dos individuos universitarios encuentran una vulnerabilidad en las lavadoras CSC que les permite tener ciclos de lavado sin límite

Lavadoras CSC

CSC ServiceWorks es una compañía que brinda diversos servicios, aunque se especializan en lavadoras comerciales. Aquí tenemos una zona de lavandería digital, donde tenemos múltiples formas de hacer los pagos, permitiendo el uso de Google Pay o Apple Pay desde el móvil. Estas lavadoras están conectadas a Internet y requieren que el usuario descargue la aplicación de CSC desde el móvil para poder utilizarlas. Una vez descargada y creada la cuenta, se pueden agregar fondos para poder obtener ciclos de lavado. Todo parecía ir bien hasta que dos estudiantes de la Universidad de California descubrieron que podían adquirir ciclos de lavado sin límite y de forma gratuita con estas lavadoras aprovechando una vulnerabilidad.

Una vez descubrieron el error, ejecutaron un script personalizado a través de la aplicación móvil y lograron alcanzar su objetivo. Resulta que es factible utilizar la aplicación para llevar a cabo ciclos de lavado incluso sin tener fondos, por lo que básicamente se pueden utilizar sin restricciones.

Han reportado la vulnerabilidad, pero aún no ha sido corregida

 1 1

Otro de los descubrimientos que hicieron fue que gracias a la vulnerabilidad de las lavadoras también se podían sumar créditos por valor de millones de dólares en sus cuentas. Estos créditos aparecían en la aplicación móvil CSC Go, pero claro, no se trataba de dinero real que pudieran retirar o utilizar en algo que no fueran ciclos de lavado. Después de probar todo esto, los individuos llamados Alexander Sherbooke y Iakov Taranenko decidieron contactar con la compañía en enero y hablar con el servicio de atención al cliente.

No obstante, no lograron tener éxito y procedieron a enviar el descubrimiento de esta vulnerabilidad de las lavadoras al Centro de Coordinación CERT de la Universidad Carnegie Mellon. Tras esperar unos meses, el hallazgo apareció en un informe de ciberseguridad y el CSC eliminó los créditos de las cuentas de los individuos. A pesar de todo esto, la empresa no ha anunciado nada sobre haber solucionado la vulnerabilidad.

En Grupo MET podemos ayudarte a implementar esta y muchas mas herramienta para optimizar tu trabajo. ¡Contáctanos para saber más!

Contactanos