Dos estudiantes e investigadores estadounidenses han identificado una vulnerabilidad en la aplicación de lavandería CSC Go, que permite que millones de usuarios de este servicio puedan lavar la ropa de forma gratuita.
CSC Go es una compañía de servicios de lavandería que opera en Estados Unidos, Canadá y Europa, y que cuenta con más de 40 millones de usuarios, entre residentes de centros de estudiantes, comunidades de viviendas, lavanderías y hoteles.
En este marco, dos estudiantes de la Universidad de California en Santa Cruz (Estados Unidos) han alertado sobre un fallo encontrado en la interfaz de programación de aplicaciones (API) de la aplicación CSC Go -diseñada para que los usuarios gestionen los servicios de lavandería desde su 'smartphone'-, que ha permitido que millones de usuarios laven su ropa de forma gratuita.
La API en cuestión permite que la aplicación y los electrodomésticos de lavado se comuniquen entre sí a través de Internet. De esta forma, los usuarios pueden recargar fondos para pagar desde el 'smartphone' y lavar la ropa en cualquier máquina cercana de la compañía.
Sin embargo, tal y como han explicado los estudiantes Alexander Sherbrooke e Iakov Taranenko en declaraciones a TechCrunch, con la vulnerabilidad de la API cualquier persona puede engañar a los servidores y conseguir que estos envíen comandos falsos a las lavadoras para poder utilizar sus servicios de forma gratuita.
Por ejemplo, una de las pruebas que llevaron a cabo los estudiantes fue agregar un saldo falso de varios millones de dólares en su cuenta de CSC Go, de manera que utilizaban este supuesto saldo para pagar los servicios de lavandería. De la misma forma, esta vulnerabilidad también permite enviar comandos falsos a los electrodomésticos y ordenar su funcionamiento, aún sin haber pagado el servicio correspondiente.
Según han detallado los estudiantes, se pusieron en contacto con la compañía CSC Go 'service works' en enero de este año para informar sobre esta vulnerabilidad en su aplicación. Sin embargo, no han recibido respuesta desde entonces.
Ahora, la vulnerabilidad continúa abierta y, por tanto, se puede seguir explotando para utilizar las máquinas de lavado de forma gratuita, tal y como han compartido Sherbrooke y Taranenko en una publicación en el blog de club de ciberseguridad de su universidad.
En concreto, esta vulnerabilidad fue identificada por los estudiantes analizando el tráfico de la red mientras estaban conectados y utilizando la aplicación CSC Go. Así, descubrieron que se podían eludir los controles de seguridad de la aplicación y enviar comandos directamente a los servidores de CSC.
Con todo ello, cualquier persona puede crear una cuenta de usuario de CSC Go y enviar comandos falsos utilizando la API. Incluso, ni siquiera es necesario utilizar un correo electrónico real, ya que los servidores no identifican si las direcciones utilizadas son verdaderas.
Por su parte, la compañía CSC Go continúa sin comunicarse al respecto u ofrecer una solución a dicha vulnerabilidad. No obstante, sí ha eliminado la cuenta con el saldo falso de varios millones de euros que los estudiantes utilizaron como prueba.