Last Updated on 2024-05-21 08:25 by 荒木 啓介
カリフォルニア大学サンタクルーズ校の学生、アレクサンダー・シャーブルックとイアコフ・タラネンコは、CSC ServiceWorksの洗濯機において無制限の無料ランドリーサイクルを可能にするセキュリティ上の欠陥を発見した。このバグは、CSC Goモバイルアプリが使用するAPIに存在し、アプリ上のセキュリティチェックがユーザーのデバイスで行われ、CSCのサーバーによって自動的に信頼されるため、リモートコマンドを洗濯機に送信することができる。シャーブルックは、アカウントに$0があるにも関わらず、サイクルを実行する指示のコードスクリプトを実行し、洗濯機が起動することに成功した。
学生たちはさらに、ランドリーアカウントに数百万ドルの残高を追加することに成功した。彼らは今年の1月にオンラインの連絡フォームを通じてCSC ServiceWorksにバグを報告したが、返答はなかった。電話での問い合わせも同様に結果は得られなかった。研究者が通常、ベンダーに脆弱性を修正するために与える3ヶ月を待った後、彼らは詳細を公開することにした。CSC ServiceWorksにコメントを求めたが、返答はなかった。
学生たちは、バグを報告する過程を正しく進めたいと考え、カーネギーメロン大学のCERT調整センターの助けを借りてベンダーに連絡を試みたが、ベンダーはCERTのポータルを訪れることすらなかった。報告後、CSCは彼らの数百万ドルのアカウント残高を消去したが、脆弱性は依然として修正されていない。
【ニュース解説】
カリフォルニア大学サンタクルーズ校の学生であるアレクサンダー・シャーブルックとイアコフ・タラネンコは、CSC ServiceWorksの洗濯機を操作するためのモバイルアプリにセキュリティ上の欠陥があることを発見しました。この欠陥を利用することで、ユーザーは無制限に無料で洗濯サイクルを実行することが可能になります。この問題は、アプリが使用するAPIにおいて、セキュリティチェックがユーザーのデバイス上で行われ、その結果がCSCのサーバーによって盲目的に信頼されることに起因しています。
この発見は、シャーブルックがアカウントに残高がないにも関わらず、洗濯機を起動させるコードスクリプトを実行したことから始まりました。さらに、彼らはランドリーアカウントに数百万ドルの残高を追加することにも成功しました。しかし、この問題をCSC ServiceWorksに報告しても、適切な対応を得ることはできませんでした。彼らはオンラインフォームや電話を通じて連絡を試みましたが、返答はありませんでした。カーネギーメロン大学のCERT調整センターの助けを借りても、ベンダーは問題に対処するための行動を起こさなかったようです。
この事例は、セキュリティ上の脆弱性が発見された際の適切な報告と対応のプロセスの重要性を浮き彫りにします。特に、セキュリティチェックをクライアント側で完結させる設計は、悪意のあるユーザーによる悪用のリスクを高めるため、開発者はサーバー側での検証を強化する必要があります。また、企業はセキュリティ上の問題を報告するための明確なチャネルを設け、迅速に対応する体制を整えるべきです。
このような脆弱性が放置されることで、企業は経済的損失を被るだけでなく、信頼性の低下にも繋がります。一方で、この事例はセキュリティリサーチャーや学生がいかにして社会的な価値を提供できるかを示しており、彼らの努力が適切に評価され、協力を得られる環境が必要です。長期的には、このような問題への意識を高め、セキュリティ文化を強化することが、企業や社会全体のデジタルセキュリティを向上させる鍵となります。
from Students Spot Washing Machine App Flaw That Gives Out Free Cycles.
