Alexander Sherbrooke i Iakov Taranenko odkryli lukę w systemie zarządzania inteligentnymi, zdalnie sterowanymi urządzeniami. Produkujące je firma długo nie reagowała na ich zgłoszenie.
Nasze domy stają się coraz bardziej smart, a lista inteligentnych urządzeń już dawno przestała zawężać się do smartfonów czy komputerów. Teraz lodówka sama powie wam, jakich zakupów potrzebujecie. Światłem czy centralnym ogrzewaniem można sterować z poziomu aplikacji, a zwykłe klucze do drzwi wejściowych zastępują karty magnetyczne. Benefitów jest z tego sporo: kontrola, zaoszczędzony czas i – przynajmniej teoretycznie – większe bezpieczeństwo. Tak przynajmniej być powinno, bo jak się okazuje w praktyce, smart instalacje niekiedy zawodzą.
Zaczęło się od nudy
O tym, żeby niekoniecznie ślepo ufać wszystkim nowinkom, przekonali się ostatnio studenci Uniwersytetu Kalifornijskiego w Santa Cruz. Dwaj entuzjaści odkryli lukę w systemie zabezpieczeń dużej sieci pralni samoobsługowych, która pozwoliła na… dożywotnie darmowe pranie w milionach urządzeń rozsianych po całym świecie.
Siri ma silną konkurencję. Chat GPT4-o ułatwia rozmowę w różnych językach i to w czasie rzeczywistym!
CSC ServiceWorks to popularna w Stanach Zjednoczonych, Kanadzie i Europie sieć pralni, która dostarcza miliony urządzeń m.in. domom wielorodzinnym, instytucjom akademickim oraz hotelom. Wszędzie tam włamali się w ostatnim czasie Alexander Sherbrooke i Iakov Taranenko. Jak do tego doszło? Sherbrooke twierdzi, że pewnego razu nudził się, siedząc na podłodze w piwnicznej pralni z laptopem w ręku. Wpadł wówczas na pewien nieoczywisty pomysł.
Adept programowania odpalił skrypt zawierający instrukcje dla maszyny, które kazały jej natychmiast rozpocząć cykl mimo braku środków w wirtualnym portfelu. Tak też się stało – inteligentna pralka wybudziła się i zaczęła pracować. Nie była to jednak jedyna wychwycona luka. Panowie, testując możliwości aplikacji, zdołali dodać kilka milionów dolarów do swoich wirtualnych kont. System nie widział w tej wpłacie nic podejrzanego – przecież każdy student ma tyle hajsu na codzienne potrzeby.
Fikcyjna fortuna
Duet postanowił zachować się fair i w styczniu tego roku poinformował firmę o swoim odkryciu. Zrobił to za pomocą formularza kontaktowego, bo CSC ServiceWorks nie dysponuje specjalnym adresem do spraw technicznych. Jaki był rezultat ich interwencji? Żaden. Po kilku próbach nawiązania kontaktu przedsiębiorstwo zablokowało fikcyjne miliony znajdujące się w portfelach studentów, ale nie naprawiło usterki. Taka postawa rodzi wątpliwości dotyczące bezpieczeństwa środków przelewanych na tego typu platformy oraz smart urządzeń znajdujących się w naszych domach.
– Nie rozumiem, jak tak duża firma popełnia tego typu błędy, a potem ogranicza swój kontakt z klientem. W najgorszym przypadku ludzie mogą łatwo doładować swoje portfele, a przedsiębiorstwo straci mnóstwo pieniędzy. Dlaczego nie zrobić absolutnego minimum w postaci monitorowanej skrzynki mailowej poświęconej zabezpieczeniom tego typu sytuacji? – poskarżył się portalowi TechCrunch Taranenko. – Ponieważ robimy to w dobrej wierze, nie mam nic przeciwko spędzeniu kilku godzin w oczekiwaniu na telefon, jeśli mogłoby to pomóc w rozwiązaniu problemów związanych z bezpieczeństwem. Fajnie byłoby wdrażać je w prawdziwym świecie, a nie tylko w symulowanych konkursach – podsumowuje niedoszły haker.
