تم العثور على خطأ أمني في آلات الغسيل التجارية
لا يمكن أن يقال بما فيه الكفاية: إذا كان من الممكن توصيل كائن ما، فإنه يحمل مخاطر أمنية. حتى آلات الغسيل التجارية المتصلة بها تبين أنها تحمل ثغرة أمنية كبيرة تسمح لأي شخص بإرسال الأوامر عن بعد إلى الآلات.
نصيحة: هل تريد الحفاظ على جهاز الكمبيوتر الخاص بك محميًا؟ جرب إعدادات Windows هذه لحماية الكمبيوتر مجانًا.
يجد طالبان خللًا أمنيًا في آلات الغسيل
تم اكتشاف هذه المشكلة لأول مرة من قبل اثنين من طلاب جامعة كاليفورنيا، ألكسندر شيربروك وياكوف تارانينكو. كان الأول يجلس في غرفة الغسيل في الطابق السفلي في يناير بينما كان يستخدم جهاز الكمبيوتر المحمول الخاص به، محاولًا إنشاء تطبيق لتتبع حالة آلات الغسيل. بدأ بالتفكير في الأمر، ثم أرسل بعض التعليمات البرمجية إلى إحدى ماكينات الغسيل لبدء الدورة، على الرغم من عدم وجود رصيد في حساب الغسيل الخاص به. بدأ تشغيل الجهاز وأظهر رسالة “Push Start”.
حاول هو وصديقه إضافة رصيد وهمي قدره 13 مليون دولار إلى حساب الغسيل. تم اكتشافه في تطبيق الهاتف المحمول الخاص بالجهاز كما لو أنه قام بإيداعه بالفعل. يمكن أن تؤدي نقاط الضعف هذه إلى أشياء كثيرة، لكنها بالتأكيد يمكن أن تسمح للطلاب، أو أي شخص، في هذا الشأن – بغسل ملابسهم مجانًا.
لعِلمِكَ: تعرف على ما هو زر أمان Windows وكيفية استخدامه.
تم الإبلاغ عن خطأ أمني في آلات الغسيل
أبلغ الطالبان شيربروك وتارانينكو النتائج التي توصلوا إليها إلى شركة CSC ServiceWorks، وهي شركة خدمات غسيل الملابس التي تقوم بتشغيل الآلات. تدير الشركة شبكة تضم أكثر من مليون من هذه الأجهزة الموجودة في الفنادق والجامعات والمساكن في الولايات المتحدة وكندا وأوروبا.
لم يتمكنوا من العثور على صفحة أمان مخصصة للإبلاغ عن مثل هذه الأشياء، لذلك أرسلوا عدة رسائل إلى نموذج اتصال عبر الإنترنت ولكن لم يتلقوا أي رد من الشركة. كما تم إبلاغ مركز تنسيق CERT بجامعة كارنيجي ميلون بذلك. يساعد CERT في الكشف عن العيوب الأمنية.
ولوحظ أنه يمكن إرسال الأوامر إلى خوادم الأجهزة، حيث يتم إجراء فحوصات أمنية على جهاز المستخدم في التطبيق. خوادم CSC تثق بها دون طرح أي أسئلة. بمجرد النظر إلى حركة مرور الشبكة، وجد الطالبان أنه بإمكانهما الالتفاف حول عمليات الفحص الأمني وإرسال الأوامر إلى الخدمة. لم يتم أيضًا التحقق من عناوين البريد الإلكتروني المستخدمة لإنشاء حساب في التطبيق.
بعد الأشهر الثلاثة المعتادة من انتظار لجنة CSC للقيام بشيء ما قبل الإعلان عنها، يكشف شيربروك وتارانينكو المزيد. يعتقدون أن الثغرة الأمنية موجودة في واجهة برمجة التطبيقات (API) لتطبيق الهاتف المحمول. لم تفعل CSC أي شيء لإصلاح التطبيق، لكنها قامت بمسح الرصيد البنكي المزيف الأكبر. ومع ذلك، تبقى مبالغ أصغر تتراوح بين 50 إلى 100 دولار في الحساب.
تجدر الإشارة إلى أن هذه المشكلة الأمنية موجودة على شبكة الأجهزة بأكملها – وليس فقط تلك الموجودة في الحرم الجامعي المحدد. هذا هو المكان الذي يثير القلق. إذا كانت آلات الغسيل تعاني من هذا الخطأ الأمني، فكر في عدد الكائنات المتصلة الأخرى، والتي قد تكون غير ضارة، والتي لديها ثغرة أمنية. تابع القراءة لمعرفة كيفية حماية خصوصيتك وأمانك على Android.
حقوق الصورة: أونسبلاش
اشترك في نشرتنا الإخبارية!
يتم تسليم أحدث البرامج التعليمية لدينا مباشرة إلى صندوق البريد الوارد الخاص بك
