Sicherheitslücke in Waschmaschinen: Kostenloses Waschen im Waschsalon möglich
Studenten fanden eine Schwachstelle in einer mobilen App einer US-Wäschereikette, was kostenfreies Waschen ermöglicht. Das Unternehmen interessiert das nicht.
(Bild: Tero Vesalainen / Shutterstock.com)
Zwei Universitätsstudenten der University of California Santa Cruz (UC Santa Cruz) haben Anfang 2024 eine Sicherheitslücke in Waschmaschinen des großen US-Wäschereibetreibers CSC ServiceWorld entdeckt. Das berichtet das US-Technikmagazin TechCrunch am Freitag. Die Ausnutzung der Schwachstelle soll es demnach ermöglichen, über eine Million internetfähiger Waschmaschinen in öffentlichen Wäschereien in Wohnheimen und auf Universitätsgeländen kostenfrei zu nutzen.
Die beiden Studenten nutzen dabei eine Sicherheitslücke aus, die es ermöglicht, aus der Ferne Befehle an die mit dem Internet verbundenen Waschmaschinen zu senden. Das kann etwa ein Befehl zur Freigabe des Waschgangs sein, erläutern die beiden Studierenden. Auf diese Lücke sei einer der beiden Studenten durch Zufall aufmerksam geworden, als er mit seinem Notebook in einem Waschraum gesessen habe. Es gelang ihm, ein Skript auszuführen, das eine Waschmaschine dazu veranlasste, einen Waschgang zu starten, ohne dass sich dafür ein Guthaben auf dem Wäschekonto befand.
Die Schwachstelle soll sich in einer API befinden, die von der mobilen App CSC Go zur Kontoverwaltung und zur Bezahlung von Waschvorgängen verwendet wird. Die Studenten entdeckten, dass die Server von CSC dazu gebracht werden konnten, Befehle zu akzeptieren, die etwa den Kontostand ändern. Die Sicherheitsprüfungen wurden dabei von der App ausschließlich auf dem Gerät der Studierenden ausgeführt. Dass das klappt, hatten sie herausgefunden, in dem sie den Netzwerkverkehr analysiert hatten, der zwischen der CSC-Go-App sowie den Servern von CSC stattfand.
Wäschekonto mit Millionen US-Dollar
Die beiden Studenten reizten dann die Möglichkeiten aufs Äußerste aus. Sie buchten angeblich mehrere Millionen Dollar auf ein Wäschekonto.
Das Melden der Sicherheitslücke an CSC ServiceWorld gestaltete sich indes schwieriger als gedacht. Die beiden Studenten schickten dem Unternehmen im Januar mehrere Mails über das firmeneigene Kontaktformular, die allerdings unbeantwortet blieben. Über eine spezielle Meldeseite für Sicherheitsprobleme verfügt das Wäschereiunternehmen nicht. Ein Telefonat mit dem Unternehmen war ebenfalls nicht zielführend, berichtet TechCrunch.
Die Studenten schickten deshalb ihre Untersuchungsergebnisse an das CERT Coordination Center, das an der Carnegie Mellon University (CMU) angesiedelt ist. Dabei handelt es sich um eine Meldestelle von Schwachstellen, die von dort an Hersteller weitergeleitet werden. Zudem werden die Sicherheitsprobleme dort analysiert und gegebenenfalls Korrekturen und Anleitungen zur Problemlösung bereitgestellt.
Nach einer mehr als dreimonatigen Wartefrist, die üblicherweise zur Veröffentlichung von Sicherheitslücken abgewartet werden muss, wurden die Ergebnisse erstmals im Mai auf einer Präsentation des Cybersecurity Club der UC Santa Cruz veröffentlicht. CSC hatte bis dahin nicht geantwortet, allerdings ohne jegliche Mitteilung die Konten der Studenten auf null gesetzt. Mehr unternahm das Wäschereiunternehmen nicht. Es ist weiterhin möglich, unter Ausnutzung der Schwachstelle sein Konto aufzufüllen und aus der Ferne eine Waschmaschine von CSC freizuschalten. Einzig das physische Drücken des Startknopfes der jeweiligen Waschmaschine ist dann noch nötig.
(olb)