Uma dupla de estudantes da Universidade da Califórnia, nos Estados Unidos, descobriu uma falha de segurança que permite “invadir” o sistema de máquinas de lavar conectadas à internet. Ao TechCrunch, os alunos Alexander Sherbrooke e Iakov Taranenko explicaram que, graças a uma brecha, é possível utilizar gratuitamente um serviço oferecido em universidades de diversos países.
Entenda:
- Dois estudantes da Universidade da Califórnia, nos Estados Unidos, descobriram uma falha de segurança que permite “invadir” máquinas de lavar conectadas à internet;
- A dupla encontrou a vulnerabilidade na API de um app da empresa CSC ServiceWorks, que opera mais de um milhão de máquinas de lavar em hotéis, universidades e residências nos Estados Unidos, Canadá e Europa;
- O bug permite enviar comandos remotos para utilizar as máquinas gratuitamente, ou recarregar a conta do app com uma quantia falsa de dinheiro;
- Os estudantes tentaram entrar em contato com a CSC, mas não obtiveram resposta da empresa;
- As informações são do TechCrunch.
A vulnerabilidade foi apontada em mais de um milhão de máquinas de lavar operadas pela CSC ServiceWorks, disponíveis em hotéis, universidades e residências nos Estados Unidos, Canadá e Europa. O bug foi encontrado em uma API do aplicativo móvel da empresa, CSC Go, utilizado para que os usuários realizem o pagamento pelos serviços de lavanderia.
Leia mais:
- Sistema de pagamentos do governo é invadido; entenda o que aconteceu
- Apple muda proteção de dispositivos roubados para solucionar falha de segurança; entenda
- Processadores da Apple são afetados por falha de segurança incorrigível
Brecha em aplicativo de máquinas de lavar inteligentes permitiu uso gratuito
Como disseram os estudantes, a brecha no app permite que qualquer usuário envie comandos para as máquinas operadas pela empresa e utilize os dispositivos inteligentes sem precisar pagar pelo serviço ou, então, atualize sua conta do aplicativo para mostrar um saldo falso.
Sherbrooke contou que estava na lavanderia da faculdade quando executou um script de código com instruções para iniciar um ciclo de lavagem na máquina – apesar de não ter nenhum saldo em sua conta. Em outro caso, os estudantes conseguiram adicionar um saldo falso de milhões de dólares a uma das contas do CSC Go.
A dupla disse que, desde janeiro, chegou a enviar várias mensagens à CSC ServiceWorks e até tentou realizar uma ligação por telefone para informar sobre a falha, mas a empresa não retornou o contato.
O post Bug quase permitiu que milhões de pessoas lavassem roupa de graça; entenda apareceu primeiro em Olhar Digital.
Fonte: https://olhardigital.com.br/2024/05/21/seguranca/bug-quase-permitiu-que-milhoes-de-pessoas-lavassem-roupa-de-graca-entenda/
