安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用

安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用 访问:NordVPN 立减 75% + 外加 3 个月时长 另有NordPass密码管理器 通常情况下,想要使用该公司服务的人需要在手机上安装 CSC Go 应用程序,加载余额,然后在附近的洗衣机上开始洗衣循环。任何具备必要知识的人都可以利用这个漏洞,通过远程向这家拥有 90 年历史的公司在美国、加拿大和欧洲的住宅、酒店和大学校园里运营的联网洗衣机发送指令,获得免费洗衣服务。事情要从今年 1 月初说起,当时 Sherbrooke 正带着笔记本电脑坐在地下室的洗衣房里。在账户中没有余额的情况下,他尝试运行一个代码脚本,命令面前的洗衣机运行一个洗衣周期,结果成功了。此外,学生们还在自己的一个洗衣账户中添加了数百万美元,这些钱也出现在了 CSC Mobile Go 应用程序中。据这两名学生称,该公司仍对漏洞的存在和修复要求一无所知。1 月初,他们试图通过多种渠道联系 CSC ServiceWorks,如通过在线联系表单发送多条信息和拨打电话,但均无人接听。该公司没有专门的安全页面来报告安全漏洞。虽然 CSC ServiceWorks 没有回应学生研究人员,但在他们报告发现后,CSC ServiceWorks 删除了大量账户余额。不过,该漏洞仍未修复,他们可以增加任何金额。目前尚不清楚该公司是否正在进行内部修复。根据两人的说法,该漏洞存在于移动应用程序使用的 API 中,该 API 可帮助设备和应用程序通过互联网相互通信。他们发现,他们可以直接向 CSC 的服务器发送命令,从而躲过应用程序的安全检查。学生研究人员告诉本刊,通过直接访问 API 和公司公布的服务器命令公开列表,他们可以找到"CSC ServiceWorks 连接网络上的每一台洗衣机"并与之交互。安全研究人员通常要等三个月才会公开他们的研究成果。这对学生说,他们等得更久,本月初在大学网络安全俱乐部展示了他们的发现。他们还与卡内基梅隆大学的 CERT 协调中心分享了他们的发现,该中心提供指导并帮助安全研究人员向供应商披露漏洞。 ... PC版: 手机版:

相关推荐

封面图片

一项安全失误可能让数百万大学生能够免费洗衣服,这都要归功于一家公司。据报道,这是因为两名加州圣克鲁斯分校的发现了一些在多

一项安全失误可能让数百万大学生能够免费洗衣服,这都要归功于一家公司。据报道,这是因为两名加州大学圣克鲁斯分校的学生发现了一些在多个国家商业使用的联网洗衣机中的漏洞。 两名学生,Alexander Sherbrooke和Iakov Taranenko,显然利用了洗衣机应用程序的 API 做出了一些操作,比如远程控制洗衣机免费工作,以及修改洗衣账户以显示其中有数百万美元。 拥有这些机器的公司 CSC ServiceWorks 声称,在美国、加拿大和欧洲的大学、多户型社区、洗衣店等地,服务着超过一百万台洗衣和自动售货机。 TechCrunch 报道称,当学生在一月份通过电子邮件和电话报告漏洞时,CSC 从未做出回应。尽管如此,这些学生告诉媒体,他们联系该公司后,公司“悄无声息地”清除了他们虚构的数百万资金。 标签: #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot
封面图片

Apple 发布更新修复被以色利NSO间谍软件公司利用的安全漏洞

Apple 发布更新修复被以色利NSO间谍软件公司利用的安全漏洞 周一,在安全研究人员发现一个漏洞后,苹果公司针对其产品中的一个关键漏洞发布了紧急软件更新,该漏洞允许以色列国家统计局集团的高度侵入性间谍软件感染任何人的 iPhone、iPad、Apple Watch 或 Mac 电脑,而无需点击。 在多伦多大学网络安全监管机构Citizen Lab 的研究人员发现一名沙特激进分子的 iPhone 感染了 NSO 的高级间谍软件之后,Apple 的安全团队自周二以来一直在夜以继日地开发修复程序。
封面图片

微软员工因安全漏洞泄露公司内部密码

微软员工因安全漏洞泄露公司内部密码 微软解决了将公司内部公司文件和凭据暴露给开放互联网的安全漏洞。SOCRadar 的安全研究人员发现了一个托管在 Microsoft Azure 云服务上的开放公共存储服务器,该服务器存储与微软必应搜索引擎相关的内部信息。Azure 存储服务器包含代码、脚本和配置文件,其中包含微软员工用于访问其他内部数据库和系统的密码、密钥和凭证。但存储服务器本身没有密码保护,互联网上的任何人都可以访问。研究人员于2月6日向微软公司通报了这一安全漏洞后,微软于3月5日修复。
封面图片

重要: AMD Zen 2 and Zen 3 存在 TPM 安全漏洞

重要: AMD Zen 2 and Zen 3 存在 TPM 安全漏洞 柏林技术大学安全研究人员发布的一篇新论文表明,AMD 基于固件的可信平台模块 (fTPM / TPM) 可以通过电压故障注入攻击完全受损,从而允许完全访问在称为“faultTPM”的攻击中保存在 fTPM 中的加密数据。最终,这允许攻击者完全破坏任何仅依赖于基于 TPM 的安全性的应用程序或加密,例如 BitLocker。 研究人员使用成本约为 200 美元的现成组件来攻击 Zen 2 和 Zen 3 芯片中存在的 AMD 平台安全处理器 (PSP),从而实现了这一现象。该报告没有具体说明 Zen 4 CPU 是否易受攻击,攻击确实需要对机器进行“数小时”的物理访问。研究人员还在GitHub 上分享了用于攻击的代码以及用于攻击的廉价硬件列表 注意: 此处 TPM 安全模块为 AMD CPU 内置的虚拟安全模块,并非为独立的 TPM 安全模块,但受限于额外的硬件成本和特殊地区政府管制[如中国,伊朗,俄罗斯等国家],常规用户都不会额外购置独立模块,这将会严重影响用户设备的抗第三方攻击能力,特殊攻击者可以轻松绕过防护
封面图片

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览:高危安全漏洞:CVE-2024-6100,为 JavaScript V8 引擎中的类型混淆问题,该漏洞由安全研究人员 @0x10n 提交,漏洞奖金为 20,000 美元高危安全漏洞:CVE-2024-6101,为 WebAssembly 中的不适当实现,该漏洞由安全研究人员 @ginggilBesel 报告,漏洞奖金为 7,000 美元高危安全漏洞:CVE-2024-6102,Dawn 中的越界内存访问,该漏洞由安全研究人员 @wgslfuzz 报告,漏洞奖金待定高危安全漏洞:CVE-2024-6103,Dawn 中的 Use-after-Free 问题,该漏洞由安全研究人员 @wgslfuzz 报告,漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外,谷歌内部还发现了两个漏洞并通过此版本进行修复,不过这两个漏洞的细节谷歌并没有提供,也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新,亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级: ... PC版: 手机版:
封面图片

研究人员披露:苹果对iOS15安全漏洞置若罔闻

研究人员披露:苹果对iOS15安全漏洞置若罔闻 一位安全研究人员在今年 3月10日到5月4日期间向苹果报告了四个 0-day 漏洞,而在接近9月底,其中三个漏洞仍然存在于iOS 15版本 (15.0) 中。 他只得将这3个漏洞公开,目前 iOS15.0 中仍然存在这些漏洞。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人