Сервис Amazon Key реагирует на возможность взлома

Сервис Amazon Key всегда казался плохой идеей, по крайней мере, мне. Чем больший контроль вы передаете программному обеспечению компании для жизненно важных функций безопасности, таких как запирание входной двери, тем больший потенциальный доступ к вам имеет злоумышленник. Сервис, который работает в сочетании с камерой видеонаблюдения Cloud Cam, используется, прежде всего, для того, чтобы курьеры Amazon могли оставлять посылки в вашем доме, а не на крыльце. Это звучало как рецепт кошмара кибербезопасности, и, как недавно обнаружили исследователи, оказалось, что это недалеко от истины.

Отчет сиэтлской компании Rhino Security Labs, занимающейся тестированием на проникновение, вызвал волну в новостях технологий, поскольку он показывает атаку, которая может позволить любому получить доступ к вашей входной двери. Атака для проверки концепции, которая демонстрируется в этом видео, показывает, как технически подкованный человек может отключить облачную камеру и переопределить ключ Amazon. То, что называют «атакой де-аутентификации», стало возможным благодаря уязвимостям WiFi, которые позволяют преступнику неоднократно блокировать сигнал, что приводит к зависанию камеры на последнем отображаемом изображении канала. В этом временном пространстве человек может войти в дом (ожидая, что он заблокирует сигнал до того, как Ключ позволит повторно запереть дверь), а затем повторно активировать облачную камеру, как только они закончат вторжение.

Amazon попыталась преуменьшить проблему, заявив, что уязвима не служба Key или Cloud Cam, а Wi-Fi. Технически они правы в этом отношении, однако факт остается фактом: это по-прежнему атака, основанная на основной функции Cloud Cam (т. е. WiFi-соединении). Amazon также заявила, что их сотрудники обучены распознавать неисправности замков, но, как мы все знаем, всегда есть место для человеческой ошибки даже при «обучении».

Чтобы решить эту проблему, Amazon заявила, что «установит обновление для более быстрого предоставления уведомлений, если камера отключится во время доставки». Лаборатории безопасности Rhino признали, что это хороший первый шаг, но их рекомендация заключалась в том, чтобы повысить безопасность и «локальное автономное хранилище видео с облачной камеры для анализа после вторжения». Я бы даже добавил еще один шаг, который включает в себя правоохранительные органы, как это делает обычная система безопасности. При обнаружении какой-либо подозрительной активности сотрудник правоохранительных органов может быть отправлен на место для расследования одним нажатием кнопки.

Amazon пытается революционизировать доставку, но будет ли это к лучшему, еще неизвестно.