El mes pasado, el mundo conoció a Amazon Key , un nuevo servicio del gigante de las compras en línea que permite a los mensajeros abrir su puerta de entrada para entregar paquetes. Una de las principales preocupaciones del servicio es la pregunta central de si los clientes de Prime confían en Amazon lo suficiente como para permitir que la empresa controle sus hogares y determine cuándo está bien abrir la puerta a alguien que, esencialmente, es un extraño. El servicio se basa en Cloud Cam y un bloqueo inteligente compatible, y solo otorga permiso para que un servicio de mensajería ingrese luego de que escanea un código de barras, que se compara con la información en la nube. Una cámara también monitorea y registra la caída para que los clientes puedan verificar que no haya ocurrido nada sospechoso.
Ahora los investigadores de seguridad han descubierto que la cámara se puede desactivar y congelar desde un programa ejecutado desde cualquier computadora dentro del rango de Wi-Fi, informa Wired . Eso significa que un cliente que mira una entrega solo verá una puerta cerrada, incluso si alguien abre la puerta y entra, una vulnerabilidad que puede permitir que los correos deshonestos roben las casas de los clientes.
“La cámara es algo en lo que Amazon confía para ofrecer la seguridad de esto como una solución segura”, dijo a Wired Ben Caudill, fundador de Rhino Security Labs. Investigadores de la firma de seguridad descubrieron el ataque de Amazon Key y lo replicaron. “Deshabilitar la cámara en el comando es una capacidad bastante poderosa cuando se habla de entornos en los que se depende en gran medida de que es un mecanismo de seguridad crítico”.
La demostración en video del ataque muestra a un hombre que deja un paquete dentro de una casa. La aplicación Amazon Key muestra que la entrega es normal e indica que la puerta está bloqueada cuando el servicio de mensajería se va. Pero una vez que se ejecuta el programa de desactivación y el servicio de mensajería vuelve a entrar en el apartamento, la aplicación solo muestra que la puerta permanece cerrada.
La demostración es una prueba de concepto y una técnica de desautorización. Si la cámara está apagada, incluso manualmente, el usuario recibe una notificación de inserción unos minutos después diciendo que está fuera de línea. Pero, para frotar aún más la sal en la herida, el sistema Amazon Key también tiene otra debilidad. Alguien que quiera ingresar en una casa podría seguir a un mensajero de Amazon y esperar a que hagan una entrega. Podrían desencadenar un comando de desautorización a medida que el servicio de mensajería se va y hacer que Amazon Key se desconecte, lo que impediría que la puerta se bloquee. Pero Amazon tiene un proceso implementado para evitar que ocurran estos escenarios; el servicio de mensajería tiene que desbloquear la puerta, salir, luego volver a cerrar manualmente, y el cliente recibirá una notificación cuando lo haga. Si un mensajero se fue y la puerta no se cerró rápidamente otra vez, el cliente sabría que algo no funciona, aunque un ataque como este les impediría ver exactamente lo que sucedió.
Amazon ha respondido a los problemas: actualmente notifica a los clientes cuando la cámara está fuera de línea por un período prolongado.
ACTUALIZACIÓN 16 de noviembre, 12:41 pm ET: Un portavoz de Amazon dice: “La seguridad y la protección están integradas en todos los aspectos del servicio. Cada conductor de entrega pasa una verificación exhaustiva de antecedentes verificada por Amazon antes de poder realizar entregas en el hogar, cada entrega está conectada a un controlador específico, y antes de que abramos la puerta para una entrega, Amazon verifica que el controlador correcto esté en el lugar correcto. dirección correcta, en el momento previsto. Actualmente notificamos a los clientes si la cámara está fuera de línea por un período prolongado. A finales de esta semana implementaremos una actualización para proporcionar notificaciones más rápidamente si la cámara se desconecta durante la entrega. El servicio no abrirá la puerta si el Wi-Fi está desactivado y la cámara no está en línea “.
Una versión anterior de esta historia decía que la cámara de Amazon no indica a los usuarios que la cámara está fuera de línea. Eso es incorrecto.