Po odstránení bezpečnostnej chyby Amazon napriek tomu opraví inteligentný zámok Key

Aký bezpečný je Amazon Key, inteligentný zámok dverí spoločnosti?

Amazon hovorí, že je to veľmi bezpečné. Ale pre druhýkrát od prvého spustenia Key, spoločnosť opravila chybu, ktorá mohla obísť mechanizmus zámku. Tentokrát Amazon nepripustí, že najnovšia technika obchádzania zámkov je chyba.

tiež: Doručovacia služba Amazon: Prečo Bezos spúšťa prepravu cez Amazon

Ak ste to zmeškali: bolo zverejnené prekvapivé video minulý týždeň bezpečnostným výskumníkom, ktorý mu mal ukázať prístup k domu chránenému Amazon Key.

Amazon Key je obyčajný zámok dverí s obratom: Vodiči doručovania Amazonu môžu odomknúť vaše dvere, vložiť balík dovnútra a znova zamknúť dvere, a to všetko pri nahrávaní a streamovaní do vášho telefónu príslušným Amazon Cloud Cam pre pokoj v duši.

Je to súčasť snahy zachrániť vaše balíky pred privretím z vašej verandy.

Je to ten inteligentný zámok, o ktorom bezpečnostný výskumník, ktorý sa identifikoval iba ako MG, tvrdí, že ho dokáže rozbiť otvoriť s vybavením v hodnote niekoľkých dolárov: mikropočítač Raspberry Pi, batéria a bezdrôtové pripojenie dongle. Vo svojom videu ukazuje, ako otvára dvere vybavené kľúčom Amazon potom, čo vodič dodávky nechá balík a zatvorí za sebou dvere.

Hack účinne blokuje uzamknutie závory po jej otvorení, čo umožňuje hackerovi neskôr vstúpiť priamo do domu obete.

MG zdieľal špecifiká chyby s ZDNet, ktorý požiadal o zadržanie, kým Amazon chybu neopraví. On zverejnil svoj vlastný zápis po Amazone odstránil chybu minulý týždeň.

„Zverejnil som video [proof-of-concept] s upravenými technickými detailmi,“ povedal MG. "Amazon ma oslovil v ten istý deň a začal som im pomáhať pochopiť útok."

"Nastalo časové okno, ktoré som nedostal späť asi pol dňa, medzitým Amazon PR začal hovoriť o útoku a povedal, že to nie je problém," dodal. "Nepríjemný... ale sľúbil som Amazonu, že zadržím technické podrobnosti, kým nevydajú opravu.“

„O deň neskôr by [tím pre styk s verejnosťou Amazonu] úplne vysvetliť celý útok Forbesu aj keď oprava nebola zavedená,“ povedal.

Po dosiahnutí hovorkyne Amazonu Kristen Kish povedala, že útok „nie je skutočným scenárom doručenia“, pretože „ bezpečnostné prvky zabudované do technológie doručovacej aplikácie používanej na doručovanie do domu sa nepoužívajú demonštrácia“.

„Pri použití technológie vodiča existujú bezpečnostné opatrenia: náš systém monitoruje 1), že dvere sú otvorené iba na krátky čas, 2) komunikácia s kamerou a zámkom nie je prerušená a 3) že dvere sú bezpečne znovu zamknuté. Vodič neodíde bez toho, aby fyzicky skontroloval, či sú dvere zamknuté. Bezpečnosť je zabudovaná do každého aspektu služby,“ dodala.

Amazon však neskoro v nedeľu vydal aktualizácie pre svoje aplikácie pre iOS a Android, aby zmiernil útok.

Útok funguje umiestnením a Malinový koláč nenápadne v blízkosti zámku, aby sa automaticky vyhľadalo a naskenovalo vysielanie, či neobsahuje Amazon Cloud Cam. Kamera je ľahko rozpoznateľná, pretože časť sieťovej adresy dokáže identifikovať Amazon ako výrobcu kamery bez toho, aby vyžadoval prístup k bezdrôtovej sieti. Po príchode doručovateľa dokáže Raspberry Pi zistiť zvýšenie rýchlosti bezdrôtových rámcov odosielaných vzduchom. Vtedy hacker spustí deautentizačný útok, ktorý – ak je správne načasovaný – preruší kameru počas odomykania závory. Pretože aplikácia nedokáže spracovať tento chybový stav, aplikácia povie, že zámok bol zamknutý, aj keď je stále odomknutý.

Raspberry Pi potom pošle oznámenie späť útočníkovi, ktorý potom môže otvoriť dvere a ukradnúť doručené predmety a/alebo iný majetok.

Aktualizácia Amazonu vás „upozorní, ak aplikácia z akéhokoľvek dôvodu nemôže overiť stav uzamknutia“, čím účinne zabráni opätovnému fungovaniu útoku MG.

MG v nedeľu potvrdilo, že aktualizácie aplikácie zmierňujú jeho útok.