В конце октября 2017 года Amazon запустил сервис Amazon Key, который позволяет пускать курьеров компании в дом в отсутствии владельца за счет электронного замка и камеры наблюдения. Теперь исследователи в области компьютерной безопасности из компании Rhino Security Labs продемонстрировали уязвимости системы, позволяющие злоумышленникам проникнуть в дом, и при это не быть замеченными камерой, сообщает издание Wired.
Amazon является одним из крупнейших онлайн-ритейлеров в мире и нередко экспериментриует с новыми технологиями для доставки посылок. Например, в прошлом году компания запустила тестовую доставку с помощью дронов. Одна из главных проблем при доставке заключается в том, что клиент не всегда может ждать курьера дома или принять посылку на работе, поэтому в 2015 году Amazon запустил пилотный проект доставки товаров в багажник припаркованного автомобиля.
Недавно компания запустила новый проект для решения этой проблемы — сервис Amazon Key. Он позволяет курьерам компании попасть в дом в отсутствие хозяина, чтобы оставить посылку внутри. Для этого клиенту необходимо установить электронный замок и специальную камеру наблюдения внутри дома, которая одновременно является центральным элементом системы, передающим сигналы к замку в Amazon и обратно. После того, как курьер подошел к двери, он запрашивает разрешение сервера открыть дверь. Если сервер удостоверился, что курьер должен доставить товар в этот дом и в это время, он разрешает открыть дверь и запускает запись на камеру. При этом пользователь получает на смартфоне уведомление об открытии двери и видеозапись с действиями курьера.
Поскольку система позволяет разблокировать дверь без физического доступа, ей заинтересовались не только клиенты, но и хакеры. Специалисты по компьютерной безопасности из компании Rhino Security Labs продемонстрировали атаку на эту систему. В обоих случаях они использовали пакетный инжектор aireplay-ng, с помощью которого они постоянно посылали на камеру команду деавторизации, которая «выбивает» устройство из сети Wi-Fi. Главная опасность заключается в том, что при этом камера показывает пользователю не отсутствие сигнала, а последний кадр, из-за чего он будет уверен, что дверь закрыта. Поскольку замок подключен к интернету не самостоятельно, а через камеру, он также не будет работать пока запущен скрипт с командой деаторизации.
Этими особенностями и воспользовались исследователи. Они предложили два варианта атаки. В первом в роли злоумышленника выступал курьер, который после доставки выходил из дома, но не блокировал дверь, а запускал скрипт, и во время бездействия камеры незаметно возвращался в дом и блокировал дверь чтобы хозяин ничего не заподозрил. Во втором варианте атаки злоумышленником является сторонний человек. Во время закрытия двери курьером он запускает скрипт. Несмотря на то, что курьер нажимает кнопку блокировки, на самом деле из-за атаки ни камера ни замок не реагируют на команды, из-за чего злоумышленник может войти в дом, и после этого так же, как и в первом варианте прекратить атаку.
Amazon уже заявила, что работает над обновлением, которое будет оповещать пользователя, если камера не отвечает на запросы в течение небольшого времени. Кстати, недавно ошибка в обновлении прошивки умных замков привела к их массовому отключению.
Помимо уже работающих проектов у Amazon есть множество необычных патентов в области доставки. Например, компания предложила создавать воздушные склады на летательных аппаратах, которые будут служить гаванью для дронов, а также создавать аналогичные склады в высотных зданиях. Помимо этого у компании есть патент, описывающий концепцию зарядки дронов на фонарных столбах, патент на защиту дронов от хакеров и стрел, а также технологию сброса грузов с дронов.
Григорий Копиев