图灵汇官网

今年一月份，我们曾报道过一位用户投诉，称其购买的一款可联网智能洗衣机每天会生成和消耗超过3GB的数据流量，疑似遭到黑客攻击。然而，今天我们想分享的是另一个关于智能洗衣机存在漏洞的案例。这里我们强调的是“存在漏洞”，而非“被攻击”或“被黑”。之所以这样描述，是因为在这个案例中，虽然洗衣机的功能确实受到了影响，但实施这一行为的人并非恶意黑客，而是两位品行端正的大学生。他们在发现漏洞后，主动向运营方报告了这一情况。

尽管如此，无论实施主体的动机如何，无论是出于善意还是恶意，客观事实显示，这款智能洗衣机的确存在严重的安全漏洞。接下来，我们将详细探讨这个案例。

首先需要明确的是，这款智能洗衣机的拥有者和运营商是CSC ServiceWorks公司，该公司主要在美国、加拿大和欧洲开展业务。其主要业务是提供自助洗衣服务，这些智能洗衣机遍布于住宅社区、加油站、便利店、居民区、酒店、度假村、学院和大学等地，总数约为100万台，所有这些设备都需要联网。

要使用CSC ServiceWorks公司的自助智能洗衣机，用户需先下载并安装其应用程序，创建账户并充值。每次洗涤都会从账户中扣除一定费用。

今年一月份，加州大学圣克鲁斯分校的两位学生——亚历山大·舍布鲁克和亚科夫·塔拉年科，发现了一种方法，能够破解CSC ServiceWorks公司的智能洗衣机系统，实现近乎无限次的免费洗涤服务。这主要是因为CSC ServiceWorks公司的应用程序存在安全漏洞，两位学生通过运行自定义脚本绕过了服务器上的安全检查。

即使用户账户中没有余额，他们仍然可以使用这些自助智能洗衣机，并且还可以随意修改账户余额。实验结果显示，学生们成功地在账户中添加了数百万美元的余额，而一切操作均正常运行。

幸运的是，这两位学生秉持正确的价值观，并没有立即利用这一漏洞，也没有将其公开扩散。相反，他们主动向CSC ServiceWorks公司报告了这一情况，但并未获得积极回应。最终，他们将发现提交给了卡内基梅隆大学的CERT协调中心，该中心通常会给予供应商三个月时间来修复漏洞。

经过三个月的等待，在今年5月，两位学生才开始向公众披露他们的发现。据报道，CSC ServiceWorks公司最终清除了账户中的虚假余额，但漏洞仍未得到修复。CSC ServiceWorks公司的反应令人失望，至今未对此事做出任何回应。

这个案例再次提醒我们，所有可联网的智能家居设备，如智能电视、空调、洗衣机、门铃和监控摄像头等，都不是完全安全的，仍可能存在各种漏洞和风险。因此，我们必须始终保持警惕，采取必要的防护措施。