安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用

安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用 访问:NordVPN 立减 75% + 外加 3 个月时长 另有NordPass密码管理器 通常情况下,想要使用该公司服务的人需要在手机上安装 CSC Go 应用程序,加载余额,然后在附近的洗衣机上开始洗衣循环。任何具备必要知识的人都可以利用这个漏洞,通过远程向这家拥有 90 年历史的公司在美国、加拿大和欧洲的住宅、酒店和大学校园里运营的联网洗衣机发送指令,获得免费洗衣服务。事情要从今年 1 月初说起,当时 Sherbrooke 正带着笔记本电脑坐在地下室的洗衣房里。在账户中没有余额的情况下,他尝试运行一个代码脚本,命令面前的洗衣机运行一个洗衣周期,结果成功了。此外,学生们还在自己的一个洗衣账户中添加了数百万美元,这些钱也出现在了 CSC Mobile Go 应用程序中。据这两名学生称,该公司仍对漏洞的存在和修复要求一无所知。1 月初,他们试图通过多种渠道联系 CSC ServiceWorks,如通过在线联系表单发送多条信息和拨打电话,但均无人接听。该公司没有专门的安全页面来报告安全漏洞。虽然 CSC ServiceWorks 没有回应学生研究人员,但在他们报告发现后,CSC ServiceWorks 删除了大量账户余额。不过,该漏洞仍未修复,他们可以增加任何金额。目前尚不清楚该公司是否正在进行内部修复。根据两人的说法,该漏洞存在于移动应用程序使用的 API 中,该 API 可帮助设备和应用程序通过互联网相互通信。他们发现,他们可以直接向 CSC 的服务器发送命令,从而躲过应用程序的安全检查。学生研究人员告诉本刊,通过直接访问 API 和公司公布的服务器命令公开列表,他们可以找到"CSC ServiceWorks 连接网络上的每一台洗衣机"并与之交互。安全研究人员通常要等三个月才会公开他们的研究成果。这对学生说,他们等得更久,本月初在大学网络安全俱乐部展示了他们的发现。他们还与卡内基梅隆大学的 CERT 协调中心分享了他们的发现,该中心提供指导并帮助安全研究人员向供应商披露漏洞。 ... PC版: 手机版:

相关推荐

封面图片

微软发现严重安全漏洞,影响数十亿下载量 Android 应用

微软发现严重安全漏洞,影响数十亿下载量 Android 应用 “Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据,并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施,以防止未经授权的访问。 然而,如果内容提供程序系统没有被正确实现,就会产生漏洞。微软研究人员发现,不当使用“自定义意图”(custom intents,Android 应用组件之间的通信系统)可能会暴露应用的敏感区域。例如,易受攻击的应用可能无法充分检查文件名或路径,从而为恶意应用提供了可乘之机,使其可以将伪装成合法文件的恶意代码混入其中。 攻击者利用“Dirty Stream”漏洞后,可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用,未经授权访问敏感用户数据,或拦截私密登录信息。 微软的研究表明,此漏洞并非个例,研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如,拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。
封面图片

微软发现严重安全漏洞:受影响Android应用安装量超40亿次

微软发现严重安全漏洞:受影响Android应用安装量超40亿次 目前上述两个厂商已经及时确认其软件中存在的问题。微软研究员强调了面临风险的设备数量惊人:“我们在Google Play商店中发现了几个易受攻击的应用程序,这些应用的总安装量超过了40亿。”根据介绍,“Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用Android的内容提供程序系统,该系统通常用于设备上不同应用程序之间的安全数据交换。同时该系统还包含严格的数据隔离、特定URI(统一资源标识符)附加权限以及文件路径验证等安全措施,以防止未经授权的访问。然而微软研究人员发现,不正确地使用“自定义意图”(允许Android应用组件进行通信的消息传递系统)可能会暴露应用的敏感区域。例如易受攻击的应用可能无法充分检查文件名或路径,从而为恶意应用提供了可乘之机,使其可以将伪装成合法文件的恶意代码混入其中。了解更多: ... PC版: 手机版:
封面图片

一项安全失误可能让数百万大学生能够免费洗衣服,这都要归功于一家公司。据报道,这是因为两名加州圣克鲁斯分校的发现了一些在多

一项安全失误可能让数百万大学生能够免费洗衣服,这都要归功于一家公司。据报道,这是因为两名加州大学圣克鲁斯分校的学生发现了一些在多个国家商业使用的联网洗衣机中的漏洞。 两名学生,Alexander Sherbrooke和Iakov Taranenko,显然利用了洗衣机应用程序的 API 做出了一些操作,比如远程控制洗衣机免费工作,以及修改洗衣账户以显示其中有数百万美元。 拥有这些机器的公司 CSC ServiceWorks 声称,在美国、加拿大和欧洲的大学、多户型社区、洗衣店等地,服务着超过一百万台洗衣和自动售货机。 TechCrunch 报道称,当学生在一月份通过电子邮件和电话报告漏洞时,CSC 从未做出回应。尽管如此,这些学生告诉媒体,他们联系该公司后,公司“悄无声息地”清除了他们虚构的数百万资金。 标签: #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot
封面图片

苹果发布更新修复两个关键的安全漏洞

苹果发布更新修复两个关键的安全漏洞 苹果公司本周为iPhone、iPad和Mac发布了重要的软件更新,修复了苹果公司已知的被攻击者积极利用的两个安全漏洞。 这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的浏览器引擎)和内核(基本上是操作系统的核心)发现的。这两个漏洞同时影响了iOS和iPadOS以及macOS Monterey。 苹果公司说,如果有漏洞的设备访问或处理 "恶意制作的网页内容可能导致任意代码执行",WebKit的漏洞就会被利用,而第二个漏洞允许恶意应用程序 "以内核权限执行任意代码",这意味着对设备的完全访问。这两个缺陷被认为是相关的。... 苹果公司表示,iPhone 6s及以后的机型、iPad Air 2及以后的机型、iPad第五代及以后的机型、iPad mini 4及以后的机型和iPod touch(第七代),以及所有iPad Pro机型都受到影响。
封面图片

Apple 发布更新修复被以色利NSO间谍软件公司利用的安全漏洞

Apple 发布更新修复被以色利NSO间谍软件公司利用的安全漏洞 周一,在安全研究人员发现一个漏洞后,苹果公司针对其产品中的一个关键漏洞发布了紧急软件更新,该漏洞允许以色列国家统计局集团的高度侵入性间谍软件感染任何人的 iPhone、iPad、Apple Watch 或 Mac 电脑,而无需点击。 在多伦多大学网络安全监管机构Citizen Lab 的研究人员发现一名沙特激进分子的 iPhone 感染了 NSO 的高级间谍软件之后,Apple 的安全团队自周二以来一直在夜以继日地开发修复程序。
封面图片

重要: AMD Zen 2 and Zen 3 存在 TPM 安全漏洞

重要: AMD Zen 2 and Zen 3 存在 TPM 安全漏洞 柏林技术大学安全研究人员发布的一篇新论文表明,AMD 基于固件的可信平台模块 (fTPM / TPM) 可以通过电压故障注入攻击完全受损,从而允许完全访问在称为“faultTPM”的攻击中保存在 fTPM 中的加密数据。最终,这允许攻击者完全破坏任何仅依赖于基于 TPM 的安全性的应用程序或加密,例如 BitLocker。 研究人员使用成本约为 200 美元的现成组件来攻击 Zen 2 和 Zen 3 芯片中存在的 AMD 平台安全处理器 (PSP),从而实现了这一现象。该报告没有具体说明 Zen 4 CPU 是否易受攻击,攻击确实需要对机器进行“数小时”的物理访问。研究人员还在GitHub 上分享了用于攻击的代码以及用于攻击的廉价硬件列表 注意: 此处 TPM 安全模块为 AMD CPU 内置的虚拟安全模块,并非为独立的 TPM 安全模块,但受限于额外的硬件成本和特殊地区政府管制[如中国,伊朗,俄罗斯等国家],常规用户都不会额外购置独立模块,这将会严重影响用户设备的抗第三方攻击能力,特殊攻击者可以轻松绕过防护

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人