В системе доставки Amazon Key обнаружена критическая уязвимость

В прошлом месяце Amazon представил систему Amazon Key, которая позволяет курьеру доставлять посылки в квартиру, пока никого нет дома. «Умный» замок открывается с помощью приложения, а за действиями курьера заказчик может следить с помощью интернет-подключенной камеры Cloud Cam.

Однако, охранное агентство Rhino Labs продемонстрировало, как легко эту систему можно взломать с помощью простенькой программы и доступа к Wi-Fi. Компания даже записала видео с наглядной демонстрацией этого. Сначала курьер, как обычно, открывает замок с помощью приложения. Заходит в квартиру. Оставляет посылку на тумбочке. Выходит и закрывает за собой дверь. Все это прекрасно видно на Cloud Cam. А дальше начинается самое интересное: вместо того, чтобы заблокировать замок, курьер начинает DDos-атаку на Cloud Cam с устройства, который каждый может соорудить из мини-компьютера Raspberry Pi и антенны. Камера не отключается, а просто «замораживает» картинку. Заказчик видит перед собой закрытую дверь, а курьер в это время спокойно заходит в квартиру.

Справедливости ради, это не совсем проблема Cloud Cam — такие атаки выводят из системы все Wi-Fi устройства. Но если бы камера от Amazon отключалась или выводила сообщения об ошибке на экран, хозяин смог бы что-то заподозрить. А так можно устроить короткую DDos-атаку, за пару секунд войти в дверь и скользнуть в слепую зону камеры, после чего позволить системе работать в обычном режиме.

Когда Rhino Labs отправили видео Amazon, гигант интернет-торговли заявил, что в течение недели напишет обновление для системы, которое будет мгновенно предупреждать о «заморозке» камеры в процессе доставки покупок. Также в Amazon отметили, что курьеров для Amazon Key выбирают с особой тщательностью, а каждый их шаг отслеживается. Поэтому если сотрудник службы доставки вдруг решит использовать этот трюк, чтобы ограбить квартиру, он будет первым подозреваемым.

Интересно, что атака на Cloud Cam одновременно отключает и «умный» замок, у которого нет собственного подключения к интернету. Поэтому злоумышленник может незаметно следовать за курьером, и в тот момент, как он захочет заблокировать замок, отключить камеру. Курьер уйдет, а вор спокойно войдет в квартиру. На это Amazon возражает: нормальный человек перед уходом всегда дернет дверь за ручку, чтобы убедиться, что она заперта. Вряд ли курьер не заметит, как приложение вместо «замок заблокирован» напишет «ожидание подключения», а потом «сбой сети». Да и хозяину квартиры сразу приходит оповещение, если дверь открыта дольше обычного.

Тем не менее, уязвимость Amazon Key очевидна. Чтобы усилить безопасность системы, можно повесить над дверью часы с секундной стрелкой — если картинка «заморозится», это будет видно сразу. Можно повесить в квартире еще одну камеру, которая не зависит от Wi-Fi. Но Rhino Labs предлагает свой вариант: «Не пользуйтесь Amazon Key».

Кстати, если курьер услышит, что дома лает собака, он по инструкции не имеет права заходить в квартиру. А посылку оставит у порога, как было до изобретения системы Key. Это небезопасно, и количество краж почты в США с каждым годом растет. Выходом из ситуации может стать BoxLock Home — сундук с навесным замком, в который встроен сканер штрихкодов.