Ett team av säkerhetsforskare från Seattle-baserade Rhino Security Labs visade att Amazon Key och dess följeslagare Cloud Cam kan inaktiveras och frysas, så att nästan vem som helst kan valsa in i ditt hem. Om systemet på så sätt avaktiveras, även om du tittar på en "live" stream, skulle du inte se något utöver det vanliga. Detta var inte bara ett ogrundat påstående - när Wired berättade för Amazon om den nya säkerhetsforskningen, noterade företaget att det skulle utfärda en programvarukorrigering för att åtgärda problemet "senare i veckan."
Rekommenderade videor
Så exakt hur skulle en attack fungera? Enligt Rhino måste en leveransperson först få legitim åtkomst och låsa upp din dörr med Amazon Key-appen. Men istället för att låsa om dörren med sin app kunde de helt enkelt köra ett program antingen på en dator eller på en handhållen enhet byggd med en Raspberry Pi och en antenn som skulle ta bort auktoriseringen Cloud Cam. Istället för att mörkna skulle Cloud Cam helt enkelt kontinuerligt visa den sista bilden som spelades in innan den avauktoriserades. Det betyder att angriparen, eller någon annan, skulle förbli oupptäckt.
Relaterad
- Nya Ring-kameror får radar, fräsch design och nu kan de skicka Amazon Astros robot
- Hur du förhindrar att dina Ring-smarta kameror hackas
- Bästa sätten att använda Amazon Echo Show i köket
För att vara rättvis är sannolikheten för en sådan attack ganska liten. En angripare skulle behöva vara auktoriserad att leverera ett paket vid en viss adress och tid, oavsett om Cloud Cam var påslagen eller inte. "Varje leveransförare klarar en omfattande bakgrundskontroll som verifieras av Amazon innan de kan göra hemleveranser, varje leverans är kopplad till en specifik förare, och innan vi låser upp dörren för en leverans, verifierar Amazon att rätt förare är på rätt adress, vid den avsedda tidpunkten", påpekade Amazon ut. Så om inte en leveransperson hade en långvarig plan för att göra något skändligt, är hela scenariot ganska osannolikt. Trots det, noterade Amazon i ett uttalande, "Vi meddelar för närvarande kunder om kameran är offline under en längre period. Senare i veckan kommer vi att distribuera en uppdatering för att snabbare ge aviseringar om kamera går offline under leverans."
Men kanske mer oroande är det faktum att när en Cloud Cam är inaktiverad så kopplas även Amazon-nyckeln bort. När allt kommer omkring upprätthåller låset inte sin egen internetanslutning, eftersom det förlitar sig på "Zigbees trådlösa protokoll till Cloud Cam, som fungerar som dess anslutning till Wifi router och resten av internet”, rapporterar Wired. Detta innebär att en potentiell tjuv bara kan följa en leveransperson och skicka kommandot för avauktorisering när leveransen är klar. Sedan, när kusten är klar, kan brottslingen helt enkelt gå genom den olåsta dörren.
Naturligtvis skulle detta innebära att en leveransperson inte uppmärksammar om dörren är låst eller inte bakom honom eller henne, och Amazon noterar att den instruerar förare att inte lämna ett hus om dörren är det olåst. Dessutom ska Amazon också ringa en kund om en dörr lämnas olåst i mer än några minuter.
Redaktörens rekommendationer
- Vad du ska göra om din Amazon Alexa-app inte fungerar
- Amazon avslutar supporten för Cloud Cam – här är vad det betyder
- Hur du kommer åt dina favoritmusikströmningstjänster på Amazon Echo Show
- Hur du får din Amazon Echo att skälla som en hund för att skrämma bort inkräktare
- Hur du använder din smarta display som en säkerhetskamera
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
