Дослідники вже знайшли спосіб обдурити Amazon Key і вимкнути камеру

З самого початку це звучало занадто добре, щоб бути правдою: Замок, який дозволяв кур’єрам і постачальникам послуг входити без ключа, і при цьому обіцяв бути абсолютно безпечним і контрольованим. Ми говоримо, звичайно, про Amazon Key, систему, яка дозволяє людям потрапити до вашого будинку після того, як вони відсканують унікальний штрих-код. Ми назвали її “агресивною і моторошною”, коли вона була анонсована, і тепер, коли звіт Wired припускає, що система може бути зламана, наша думка здається ще більш обґрунтованою.

Команда дослідників безпеки з компанії Rhino Security Labs, що базується в Сіетлі, продемонструвала, що Amazon Key і його супутник Cloud Cam можуть бути відключені і заморожені, що дозволяє практично будь-кому проникнути у ваш будинок. Якщо система таким чином знята з-під охорони, навіть якщо ви дивитеся “живий” потік, ви не побачите нічого незвичайного. Це не просто голослівна заява – коли Wired повідомив Amazon про нове дослідження безпеки, компанія зазначила, що випустить програмний патч для вирішення проблеми “пізніше на цьому тижні”.

Тож як саме відбуватиметься атака? За словами Ріно, спочатку кур’єр повинен був би отримати законний доступ, розблокувавши ваші двері за допомогою додатку Amazon Key. Але замість того, щоб розблокувати двері за допомогою свого додатку, він може просто запустити програму на комп’ютері або на портативному пристрої, побудованому на базі Raspberry Pi і антени, яка деактивує хмарну камеру. Замість того, щоб вимкнутись, хмарна камера просто безперервно показуватиме останній кадр, записаний перед тим, як її було деавторизовано. Це означає, що зловмисник або хтось інший залишиться непоміченим.

• Найкращі поради та рекомендації щодо Amazon Echo
• Правда про вуличні гаджети для розумного будинку та екстремальний холод
• Arlo Go 2 може вийти за рамки Wi-Fi, і це дійсно круто

Заради справедливості слід зазначити, що ймовірність такої атаки є досить низькою. Зловмисник мав би отримати дозвіл на доставку посилки за певною адресою та в певний час, незалежно від того, увімкнена чи вимкнена хмарна камера чи ні. “Кожен водій доставки проходить всебічну перевірку, яка перевіряється Amazon, перш ніж він зможе здійснювати доставку додому, кожна доставка пов’язана з конкретним водієм, і перш ніж ми відкриваємо двері для доставки, Amazon перевіряє, чи правильний водій знаходиться за правильною адресою, в призначений час”, – зазначили в Amazon. Тож якщо тільки у кур’єра не було давнього плану зробити щось недобре, весь цей сценарій є досить малоймовірним. Тим не менш, в заяві Amazon відзначили: “В даний час ми повідомляємо клієнтів, якщо камера знаходиться в автономному режимі протягом тривалого періоду. Пізніше на цьому тижні ми розгорнемо оновлення для більш швидкого надання повідомлень, якщо камера відключається під час доставки”.

Однак, можливо, більше занепокоєння викликає той факт, що коли хмарна камера відключена, ключ Amazon також відключається. Зрештою, замок не підтримує власне інтернет-з’єднання, оскільки він покладається на “бездротовий протокол Zigbee для Cloud Cam, який виступає в якості його з’єднання з Wi-Fi роутером і рештою інтернету”, повідомляє Wired. Це означає, що потенційний злодій може просто слідувати за кур’єром і відправити команду деавторизації після завершення доставки. Потім, як тільки берег буде чистим, злочинець може просто пройти через незамкнені двері.

Звичайно, це передбачає, що кур’єр не звертатиме уваги на те, зачинилися за ним двері чи ні, і Amazon зазначає, що інструктує водіїв не виходити з дому, якщо двері не замкнені. Крім того, Amazon також повинен дзвонити клієнту, якщо двері залишаються незамкненими більше ніж на кілька хвилин.

Рекомендації редакції

• Amazon додає підтримку Matter до 17 пристроїв Echo
• Кращі пристрої для розумного будинку на 2022 рік
• Нова функція AMD може прискорити ваші ігри одним клацанням миші
• Подія Matter Launch Day Event принесла великі новини про майбутні оновлення, сумісні продукти
• Веб-прев’ю Google Home в прямому ефірі – і йому не вистачає більшості функцій

Source: digitaltrends.com