Dos estudiantes descubren una vulnerabilidad que les permite usar lavadoras con ciclos infinitos y añadir millones de dólares

Las brechas de seguridad aparecen en todo tipo de dispositivos, no solo en ordenadores o móviles. Incluso puede pasar en electrodomésticos, pues estos pueden tener chips, aplicaciones y conexión a Internet donde un exploit puede ser empleado para aprovecharse de todo ello. Así ha ocurrido en un caso donde dos estudiantes han conseguido explotar una vulnerabilidad que les permitían añadir millones de dólares en créditos para usar las lavadoras y conseguir ciclos de lavado ilimitados.

El hecho de que tengamos la capacidad de poder utilizar electrodomésticos con Internet demuestra que estamos intentando hacer que esté conectado. Y es que, realmente la mayoría de estas máquinas a las que se añaden funciones por Wi-Fi no suelen ser muy distintas a las normales y básicamente se nos permite utilizar el móvil para usarlas. Visto así, no parece ser muy útil, pero hay casos donde este tipo de electrodomésticos cobran más sentido, como las lavadoras de pago que emplean una app desde el móvil para utilizar el servicio.

Dos estudiantes universitarios encuentran una vulnerabilidad en las lavadoras CSC que les permite poder tener ciclos de lavado infinitos

Lavadoras CSC

CSC ServiceWorks es una empresa que ofrece varios servicios, aunque se centran en lavadoras comerciales. Aquí tenemos una sección de lavandería digital, donde tenemos varias formas de realizar los pagos, dejando utilizar Google Pay o Apple Pay desde el móvil. Estas lavadoras están conectadas a Internet y requieren que el usuario se descargue la aplicación de CSC desde el móvil para utilizarlas. Una vez descargada y creada la cuenta, se pueden añadir fondos para poder añadir ciclos de lavado. Todo parecía ir bien hasta que dos estudiantes de la Universidad de California descubrieron que podían conseguir ciclos de lavado ilimitados y gratuitos con estas lavadoras aprovechando una vulnerabilidad.

Una vez descubrieron el fallo, ejecutaron un script personalizado a través de la app móvil y lograron conseguir su objetivo. Resulta que es posible utilizar la app para realizar ciclos de lavado incluso aunque no se dispongan de fondos, por lo que básicamente se pueden utilizar sin límite.

Han informado de la vulnerabilidad, pero no se ha parcheado aún

 1

Otra de las cosas que descubrieron, es que gracias a la vulnerabilidad de las lavadoras se podían también añadir créditos por valor de millones de dólares en sus cuentas. Estos aparecían en la aplicación móvil CSC Go, pero claro, no se trata de un dinero real que pudieran sacar o usarlo en otra que no fuese ciclos de lavado. Habiendo probado todo esto, los estudiantes denominados Alexander Sherbooke y Iakov Taranenko decidieron ponerse en contacto con la empresa en enero y hablar con el servicio de atención al cliente.

No obstante, no consiguieron tener éxito y procedieron a enviar el descubrimiento de esta vulnerabilidad de las lavadoras al Centro de Coordinación CERT de la Universidad Carnegie Mellon. Tras esperar unos meses, el hallazgo apareció en un informe de ciberseguridad y el CSC acabó eliminando los créditos de las cuentas de los estudiantes. A pesar de todo esto, la compañía no ha anunciado nada sobre haber parcheado la vulnerabilidad.