Toc, toc. Chi è? Un altro hack per Amazon Key

Piccoli trucchetti possono far accedere i truffatori dopo una consegna

Video La sicurezza della chiusura Key di Amazon.com è di nuovo chiamata all’appello.

Key è una chiusura wireless progettata per essere temporaneamente disabilitata dai corrieri per lasciare oggetti a casa o alle aziende dei membri di Amazon Prime. Gli utenti Prime ricevono gli oggetti ordinati da Amazon senza dover aspettare tutto il giorno che arrivi il pacco. Amazon ha così vendite che altrimenti non avrebbe fatto, e lo staff di consegna viene registrato tramite una videocamera connessa in Wi-Fi per provare che hanno lasciato il pacco e per assicurarsi di non aver rubato gli oggetti di casa.

La persona addetta alle consegne usa un’app su smartphone per richiedere che la porta sia sbloccata, lascia il pacco in casa, esce ed usa l’app per chiudere la porta. L’app comunica con Amazon, che si connette alla camera via Internet, che invia il comando per bloccare o ssbloccare il Key.

I dispositivi sono già stati mostrati avere una brutta falla: lo scorso anno, Rhino Security Labs ha trovato un modo per eliminare la camera dalla rete wireless di casa, disconnettendola da internet per evitare che registri e che dica alla porta di chiudersi.

Ora un hacker ha dimostrato un altro attacco al Key. Come mostrato nel vido di Twitter sopra, la tecnica permette ai criminali di aprire le porte “bloccate” da Key anche dopo che il fattorino ha tentato di bloccare la porta.

Essenzialmente, il fattorino arriva, usa il suo smartphone per sbloccare la porta, lascia il pacco, “blocca” il Key di nuovo usando l’app e se ne va – comunque, una scatola elettronica lasciata vicino o accanto alla casa, sicuramente nel raggio del Wi-Fi, blocca i comandi di chiusura da Amazon alla camera, così la porta non viene mai realmente bloccata. Questo permette ad un criminale di entrare dopo che la consegna è avvenuta. Questa è una variante della falla di sicurezza di Rhino Labs, in cui una scatola elettronica tiene la porta aperta piuttosto che un fattorino furfante.

Possiamo vedere che il furto si basa su una “scatola” – un computer con una connettività wi-Fi che sia in grado di evitare che il Key si blocchi. Esattamente ocme funzioni l’hack non si sa ancora bene.

The Register ha chiesto ad Amazon ed MG, la sorgente della demo, per maggiori informazioni, ed aggiorneremo questa storia se ne sappiamo di più.

MG ha detto su Twitter: “Sto trattenendo i dettagli finchè Amazon avrà modo di sistemarlo. Rhino Security Labs ha trovato precedentemente una vulnerabilità su questa chiusura, e la risposta di Amazon è stata deludente. Non posso condividere di più finchè Amazon non trova il modo di sistemarlo. Non voglio che questa cosa sia  sfruttata nel mondo.”

Capiamo che Amazon si stia preoccupando di quest’ultima falla. È stata abile a bloccare la vulnerabilità scoperta da Rhino Labs.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *