Activaindago - AMAZON KEY: FALLA PERICOLOSA NEL SISTEMA

Slider apertura

test

NOV

24

AMAZON KEY: FALLA PERICOLOSA NEL SISTEMA

Sapete di Amazon Key, il nuovo servizio dellazienda di Jeff Bezos che permetterà ai corrieri di aprire la porta dingresso di unabitazione e riporre il pacco, in sicurezza, dentro casa?

Sicuramente sì, perché se ne sta parlando molto.

Ricapitoliamo, sinteticamente, come funziona: tale sistema si basa su una Cloud Cam di Amazon, un sistema di chiusura intelligente delle porte, e sul protocollo wireless chiamato Zigbee, già utilizzato da molti dispositivi per la casa intelligente (compatibile con serrature Yale e Kwikset).

Quando un corriere arriva con un pacco Amazon per la consegna allinterno della casa, esegue la scansione del codice a barre, inviando una richiesta alla videocamera in cloud di Amazon. Se tutto è regolare, il cloud concede lautorizzazione a entrare inviando un messaggio alla fotocamera, che inizia la registrazione. Il corriere sblocca quindi la porta attraverso unapp ed entra. Posa il pacco, esce, chiude la porta e registra lavvenuta consegna. Il cliente riceve una notifica che il pacco è stato consegnato, oltre a un breve video che mostra il corriere entrare in casa, per confermare la regolarità delloperazione.

Una figata! Specie perché, in teoria, il sistema è a prova di violazione.

Ma in pratica, a quanto pare, nella Cloud Cam esiste una falla, scoperta dai ricercatori di Rhino Labs, che permetterebbe di mettere offline la telecamera.

Nel video realizzato da Rhino Labs per dimostrare come si possa eseguire un attacco sfruttando questa vulnerabilità il corriere apre la porta, lascia il pacco e richiude la porta, ma non la blocca tramite l'app. Invece esegue un programma (su un laptop o anche un dispositivo più piccolo, come un minicomputer) che invia alcuni comandi alla Cloud Cam, mettendola offline.

Un attacco che in sé non è una debolezza specifica dei prodotti Amazon Key ma riguarda tutte le reti wi-fi.

Uno script come quello realizzato da Rhino può essere usato per togliere dalla rete un dispositivo collegato in Wi-Fi, e tenercelo finché lo script è in funzione.

Il problema, nel caso della Cloud Cam, sta nel fatto che l'utente non ha modo di accorgersi di quando sta avvenendo perché, in risposta all'attacco, la telecamera - anziché mostrare una schermata vuota o qualcosa del genere - continua a mostrare l'ultima immagine che ha ripreso, ossia la porta chiusa.

Cosa significa tutto questo lo si capisce facilmente: un corriere disonesto può rientrare in casa, ripulirla e andarsene, questa volta chiudendo davvero a chiave la porta, senza che ci siano prove del misfatto.

È chiaro, però, che un furto realizzato in queste condizioni pone la persone che ha effettuato la consegna in cima alla lista dei sospettati, e anche che occorrono conoscenze tecniche per condurre l'attacco, ma in ogni caso il rischio è reale.

Informata del problema, Amazon ha promesso che presto rilascerà prossimamente un aggiornamento del firwmare della Cloud Cam, mentre già ora ha attivato un sistema di avvisi che allerta gli utenti se la telecamera resta offline troppo a lungo.