研究人员找到了破解亚马逊密钥的“简单”方法

2019-05-29 06:07:44 逯锯 26

网络安全研究人员表示 ,该可让司机在您的家中提供包裹。 亚马逊钥匙是一种让司机解锁和重新锁上门并用无线安全摄像头记录他们的入口的方式,但这种便利可能会带来严重的风险。

据CBS新闻记者安娜沃纳报道,一家安全研究公司的调查结果引发了对该相机是否正在捕捉真实情况的疑问。

当CBS新闻在10月份向网络安全专家John Sileo询问有关新的送货上门服务时,他说“如果它是数字的那么它是可以破解的。”

“我想看到黑客抓住机会,看看他们用它做了什么,”Sileo说。

亚马逊购物者很快就可以选择在家送货

三周后? 他们有机会 - 并说他们已经发现了缺陷。

以下是亚马逊称它应该如何工作:249美元,该公司向您出售一个特殊的智能门锁,以及一个针对门的家用无线摄像头。 交付驱动程序使用应用程序提醒亚马逊他们已到达。 然后公司激活相机并远程解锁门。 司机放下包裹,走到外面,告诉亚马逊锁门。

但现在,Rhino安全实验室的研究人员表示,他们发现安全摄像头系统存在缺陷。 它被称为去认证攻击。

“攻击者可以走进去,你将无法看到任何东西,也不会有记录,”Rhino的订婚经理Chris Lakin说。

在Rhino安全演示中,模拟驱动程序完成了删除程序包。 然后,他或附近的黑客向安全系统所依赖的Wi-Fi服务器发送命令,并在门再次锁定之前暂时使相机脱机。

“这只是一个非常简单的事情,只需要一个命令,”拉金说。

因此,当一个客户的应用程序仍显示一扇关闭的门时,一个想要的窃贼可以在没有相机看到他的情况下走进里面。

“通过能够禁用摄像头,我们基本上将安全性降低到基本上只是为您的家提供物理钥匙,”Rhino的首席执行官Ben Caudill说。

CTM-111717-amazonkey-1.JPG
演示显示附近的黑客如何向安全系统依赖的Wi-Fi服务器发送命令,并在门再次锁定之前暂时使相机脱机。 Rhino安全实验室


亚马逊表示,该软件不存在漏洞,这是所有Wi-Fi服务器都包含的漏洞。

该公司计划在本周晚些时候推出软件更新,“如果相机在交付期间下线时更快地提供通知”,并确保“如果Wi-Fi被禁用且相机不在,则服务将无法解锁线上。” 亚马逊也称这些类型的攻击“不太可能”。

考迪尔不同意。

“基于攻击的简单性,20美元和一些真正免费提供的软件,你可以自己实现。这不是一个微不足道的攻击,”他说。

亚马逊告诉哥伦比亚广播公司新闻,他们认为顾客不会因此而面临风险。 在他们看来,这不是一个安全问题,他们说他们彻底检查了他们的送货司机。 然而,Caudill告诉我们,他和他的研究人员很惊讶地发现这种脆弱性在一个真正打开人们大门的系统中。