Сервис Amazon Key сразу вызвал много вопросов, как у простых пользователей, так и у специалистов по безопасности. Напомню, что сервис для «умных» домов, представленный в конце октября 2017 года, объединил камеры Cloud Cam и подходящие «умные» замки (к примеру, Yale и Kwikset) воедино, чтобы гаджеты могли самостоятельно впускать в дома пользователей курьеров, уборщиков и другой обслуживающей персонал, пока хозяев нет дома.
Контролировать выдачу «ключей» пользователи могут с помощью специального приложения, и Amazon Key уже заработал для доставки посылок с самого Amazon. Так, чтобы попасть в дом или квартиру, курьер Amazon должен приехать в назначенное время, просканировать штрих-код, который проходит проверку в облаке, и только после этого замок открывается. Камера дополнительно фиксирует все происходящее, чтобы пользователь мог просмотреть запись или видео с камеры в прямом эфире и убедиться, что во время доставки не произошло ничего подозрительного.
Сразу после анонса Amazon Key многие пользователи заявили, что не доверят Amazon решать, кого можно и нельзя пускать в их дом. Похоже, на этот раз скептики оказались абсолютно правы. Специалисты компании Rhino Security Labs обнаружили в Amazon Key опасный баг, который позволяет обмануть систему, остановить видеозапись и повторно проникнуть в квартиру пользователя после или во время доставки посылки.
Исследователи рассказали журналистам Wired, что им удалось создать простую программу, которая работает в зоне досягаемости Wi-Fi. С ее помощью нечистый на руку курьер (или третье лицо) может отключить Cloud Cam от роутера, отправив устройству серию команд деавторизации. При этом запись «замрет» на последнем кадре: закрытой двери. Замок тоже перестанет работать, так как он, по сути, не имеет собственного соединения с интернетом, лишь сообщается с Cloud Cam посредством протокола Zigbee.
Специалисты Rhino Security Labs пояснили, что проблема – это не фактическая уязвимость в Cloud Cam, а беда практически всех устройств с поддержкой Wi-Fi. Ведь атакующий может подделать идущие от роутера команды и аналогичным образом «кикнуть» из сети почти любой девайс. В случае Cloud Cam скрипт специалистов повторяет эту процедуру снова и снова, не позволяя устройству вернуться в строй.
После этого злоумышленник может повторно проникнуть в чужое жилище, быстро сделать все, что ему заблагорассудится, а уходя, вновь активировать камеру и запереть дверь. В итоге на записи или в прямом эфире визит курьера не вызовет никаких подозрений, а его возвращение в квартиру останется незамеченным. Наглядную демонстрацию атаки в реальности можно увидеть ниже.
Хуже того, в теории в чужой дом может проникнуть не только курьер Amazon, но и совершенно посторонний человек, однако у этого сценария атаки есть ряд очевидных «но». Во-первых, доставка назначается на определенное время, которое нужно будет узнать, так как в любой другой момент система просто не впустит злоумышленника внутрь. Во-вторых, преступнику явно нужно будет дождаться, пока настоящий курьер уйдет, а тот, согласно строжайшим инструкциям, перед уходом обязан убедиться, что дверь за ним вновь заблокировалась (в противном случае курьер не сможет даже приступить к выполнению следующего заказа).
Представители Amazon уже отреагировали на сообщения исследователей. Так, в компании пообещали на этой неделе выпустить обновление ПО:
«В настоящее время мы уведомляем пользователей об уходе камеры в оффлайн лишь на продолжительный период времени. Позже на этой неделе мы представим обновление, которое позволит рассылать уведомления более оперативно, если камера отключилась во время доставки заказа. Система не будет открывать дверь, если Wi-Fi не работает, и камера не в онлайне».
Также представители Amazon заверили, что все курьеры компании проходят строжайшие проверки, адреса доставки Amazon Key назначаются конкретным людям, а система неоднократно перепроверяет, что по адресу прибыл именно тот курьер, у которого есть назначение на этот адрес и соответственный доступ. В компании подчеркивают, что даже в самом худшем случае, к примеру, если произошла кража, курьер станет «подозреваемым номер один», даже если у пользователя нет никаких доказательств, вроде видеозаписи.
Но эксперты Rhino Security Labs полагают, что данных мер может быть недостаточно. Исследователи считают, что инженерам Amazon стоит обновить ПО Cloud Cam таким образом, чтобы камеры продолжали вести запись даже в случае ухода в оффлайн, тогда злоумышленник хотя бы попадет в кадр, и у пострадавшего будут доказательства произошедшего. Также специалисты предлагают пользователям Amazon Key установить дополнительные камеры наблюдения, дублирующие Cloud Cam на случай атаки, или же отказаться от использования сервиса Amazon Key вовсе.