Amazon Key 送貨服務遭破解,控制監控相機後就可大方進入

作者 | 發布日期 2017 年 11 月 17 日 15:42 | 分類 網路 , 資訊安全 follow us in feedly

Amazon Key 是 Amazon 公司推出的送貨服務,送貨員可在相機監控的狀況下打開消費者家門放入貨物,用戶需要配備可由送貨員打開的智慧型門鎖和鏈接雲端服務器的相機 Cloud Cam。Amazon Key 推出不到一個月,安全性就遭質疑,駭客可控制相機拍攝的畫面,在用戶不知情下進入家中。



Amazon 的送貨服務經常遇到送貨員到達後用戶不在家無法收貨的問題,為此該公司開發了 Amazon Key 服務,用戶家安裝任意智慧型門鎖後,送貨員可使用特定指令打開用戶家門。為了保證安全性,還需要在正面對著用戶家門的地方安全監控相機,記錄每次送貨狀況。

Amazon Key 推出不到一個月就被曝有安全漏洞。網路安全工程師已證明,連接用戶家 Wi-Fi 後執行一個非常簡單的程式,就可以控制監控相機拍攝的畫面,使監控畫面暫停,查看影片的用戶能看到的只是關著的門,畫面是靜止的,即使有人打開門進入也不會被發現。

網路安全公司犀牛實驗室創辦人 Ben Caudill 認為,Amazon Key 服務的安全保障依賴監控相​​機,這是最關鍵的安全機制,但研究人員已證明這環節非常薄弱​​。犀牛實驗室對 Amazon Key 的攻擊非常簡單,在任何電腦、行動裝置向相機發送取消授權的命令就可完成。幾乎所有連接 Wi-Fi 的裝置都面臨同樣問題,向 Wi-Fi 路由器發送虛假命令讓聯網裝置暫時下線,相機下線後遠程查看的監控畫面就處於靜止狀態。

Amazon 公司聲明稱,將推出相機自動更新程式,如果長期時間離線會通知用戶。目前沒有任何證據顯示送貨員在用戶未允許下進入用戶家中。每位送貨員都經過 Amazon 背景審查,每次送貨都有追蹤程式跟進送貨員行程,確保貨物在預定時間送至指定地點。

Amazon 的背景審查顯然無法解決所有的問題,比如送貨員的資料被盜、追蹤程式被攻擊等,另外由於智慧型門鎖沒有連接網路,只是透過 Zigbee 無線協議與監控相機和其他網路通訊,當監控相機離線時,門鎖也無法應對緊急狀況。比如送貨員放下貨物後,門鎖自動關上之前,駭客可向門鎖發送離線命令,使門鎖無法關閉,再控制監控相機就可進入用戶家中。

Amazon 公司表示,送貨員確保門鎖關閉後才會離開,如果出現任何問題,Amazon 會立即聯繫用戶處理。

Amazon Key 面臨的最大威脅就是監控相機被駭離線的問題,用戶可考慮多安裝一個安全監控相機搭配 Amazon Key 使用,當然最好的辦法就是不使用 Amazon Key 這種看起來方便但風險很大的送貨服務。

Amazon Key 在 2017 年 11 月 8 日上線後,已向美國 37 個城市的 Prime 會員開放,在 Recode 網站調查中,超過 60% 被調查者表示不會選擇 Amazon Key 服務,在 Prime 會員中,只有 5% 認可這服務。

關鍵字: , ,