Amazon Key计划或存在安全问题,你还敢用吗?

鲁班七号 新闻 2017年11月21日发布

导语:在本月早些时候,亚马逊宣布了其Amazon Key计划,可允许送货人在视频的监控下进入你家,安全地放下包裹,并在离开时替你把门锁上,该系统还可以用来授予您信任的人,比如您的家人,朋友或房屋清洁工。

在本月早些时候,亚马逊宣布了其Amazon Key计划,可允许送货人在视频的监控下进入你家,安全地放下包裹,并在离开时替你把门锁上,该系统还可以用来授予您信任的人,比如您的家人,朋友或房屋清洁工。

TIM截图20171120234451.png

说实话,我不太喜欢这个想法,但值得一提的是许多Prime用户却相当喜欢。但是,最近据犀牛安全实验室(安全公司)的专家证实,攻击Amazon Key非常容易,而这一结果就是它会允许未经授权的人访问你家。

与此同时,研究人员也发现亚马逊密匙的传送服务和云端摄像机的安全摄像存在缺陷,这可能会被快递员小偷利用,篡改相机内容并将其关闭,使其看起来像没有人进入家中。

房主可以使用亚马逊的关键应用程序,通过视频源来远程监控前门,并接收来自亚马逊的交付通知,而客户端使用的应用程序可用于解锁和锁定他们的门。犀牛实验室的专家开发了一个应用程序,可以伪造来自云端摄像头设备连接的Wi-Fi路由器,以此来指示摄像头停止在视频输入上并显示冻结图像,这样一来就会使用户的前门关闭。

专家发表了一个解除认证攻击的视频PoC。从视频中可以看到一名快递员使用Amazon Key的应用程序解锁前门,然后发送了一个取消授权的命令到云端摄像头就可以关闭相机。

攻击者通过反复阻止Wi-Fi信号,可以导致Amazon Key应用程序显示冻结图像(直到攻击者停止干扰)。西雅图安全公司Rhino Security Labs的创始人本•考迪尔(Ben Caudill)也表示 

摄像机是亚马逊公司所依赖的关键所在,但这并不是一个安全的解决方案。当你正在谈论那些严重依赖这个关键安全机制的环境时,黑客却可以命令关闭相机从而使你失去这个非常强大的功能。

然后,交付人员就可以打开房门,暗中进入房子,而这一切都不会在Cloud Cam上看到。

目前,亚马逊发表声明称:“目前我们已经通知客户,在本周如果相机长时间处于离线状态或者相机在交付期间下线,那么我们将会部署更新并以更快的速度来提供通知。” 

亚马逊认为,犀牛实验室的攻击对客户造成的风险很小,因为它要求使用特定的技术来实现。在此基础上亚马逊强调问题的根源在于Wi-Fi协议而不是Amazon Key。“如果Wi-Fi无法使用,并且相机不在线,那么服务将无法解锁。”

亚马逊指出,每个快递员的行动都会被记录下来。但犀牛实验室的研究人员推测,可能会出现一个恶意的第三方跟随亚马逊的快递员,这样一来就为攻击提供了可能。

但亚马逊强烈表示,这种类型的攻击几乎是不可能成功的,因为快递员必须在每次交付之后仔细检查门锁,恶意攻击者几乎无机可乘。

本文翻译自:​http://securityaffairs.co/wordpress/65725/hacking/amazon-key-de-authentication-attack.html,如若转载,请注明原文地址: http://www.4hou.com/info/news/8595.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论