С помощью специального устройства можно разблокировать систему и сделать сервис неспособным снова закрыть дверь.
Исследователь безопасности под псевдонимом MG сообщил в соцсети Twitter о новом способе взлома сервиса Amazon Key.
Amazon Key представляет собой «умный» дверной замок, который можно открыть с помощью одноразового PIN-кода. Замок позволяет сотрудникам Amazon доставлять посылки прямо на дом в отсутствие хазяев. При этом, система осуществляет непрерывный мониторинг с помощью камеры для внутреннего видеонаблюдения Cloud Cam с поддержкой Alexa.
Ранее исследователи безопасности из Rhino Security Labs уже демонстрировали способы обхода системы. Специалисты показали несколько техник, позволивших обмануть Cloud Cam и беспрепятственно зайти в дом, оставшись незамеченными.
MG продемонстрировал еще один вариант атаки на Amazon Key. Как показано в видеоролике, атака позволяет получить доступ к дому даже после того, как одноразовый PIN-код сотрудника был использован.
В настоящее время неясно, как именно работает эксплойт, однако по словам самого исследователя, он использовал так называемый «dropbox» - компьютер с возможностью Wi-Fi-подключения, способный управлять замком. Dropbox может разблокировать систему или каким-то образом оставить устройство Amazon неспособным снова закрыть дверь.
Видео с демонстрацией атаки
I call this the "Break & Enter dropbox" and it pairs well with my Amazon Key (smartlock & smartcam combo).
— MG (@_MG_) February 4, 2018
It's all current software. Amazon downplayed the last attack on this product because it needed an evil delivery driver to execute. This doesn't. pic.twitter.com/35krz46Kab
Спойлер: она начинается с подписки на наш канал