Наприкінці жовтня 2017 року Amazon запустив сервіс Amazon Key, який дозволяє пускати кур'єрів компанії в будинок у відсутності власника за рахунок електронного замку і камери спостереження. Тепер дослідники в області комп'ютерної безпеки з компанії Rhino Security Labs продемонстрували вразливості системи, що дозволяють зловмисникам проникнути в будинок, і при цьому не бути поміченими камерою, повідомляє видання Wired.
Amazon є одним з найбільших онлайн-рітейлерів у світі і нерідко експериментрує з новими технологіями для доставки посилок. Наприклад, минулого року компанія запустила тестову доставку за допомогою дронів. Одна з головних проблем при доставці полягає в тому, що клієнт не завжди може чекати кур'єра вдома або прийняти посилку на роботі, тому в 2015 році Amazon запустив пілотний проект доставки товарів в багажник припаркованого автомобіля.
Нещодавно компанія запустила новий проект для вирішення цієї проблеми - сервіс Amazon Key. Він дозволяє кур'єрам компанії потрапити в будинок за відсутності господаря, щоб залишити посилку всередині. Для цього клієнту необхідно встановити електронний замок і спеціальну камеру спостереження всередині будинку, яка одночасно є центральним елементом системи, що передає сигнали до замку в Amazon і назад. Після того, як кур'єр підійшов до дверей, він запитує дозвіл сервера відкрити двері. Якщо сервер упевнився, що кур'єр повинен доставити товар в цей будинок і в цей час, він дозволяє відкрити двері і запускає запис на камеру. При цьому користувач отримує на смартфоні повідомлення про відкриття дверей і відеозапис з діями кур'єра.
Оскільки система дозволяє розблокувати двері без фізичного доступу, їй зацікавилися не тільки клієнти, а й хакери. Фахівці з комп'ютерної безпеки з компанії Rhino Security Labs продемонстрували атаку на цю систему. В обох випадках вони використовували пакетний інжектор aireplay-ng, за допомогою якого вони постійно посилали на камеру команду деавторізації, яка «вибиває» пристрій з мережі Wi-Fi. Головна небезпека полягає в тому, що при цьому камера показує користувачеві не відсутність сигналу, а останній кадр, через що він буде впевнений, що двері зачинені. Оскільки замок підключений до інтернету не самостійно, а через камеру, він також не буде працювати поки запущений скрипт з командою деаторизації.
Цими особливостями і скористалися дослідники. Вони запропонували два варіанти атаки. У першому в ролі зловмисника виступав кур'єр, який після доставки виходив з дому, але не блокував двері, а запускав скрипт, і під час бездіяльності камери непомітно повертався в будинок і блокував двері щоб господар нічого не запідозрив. У другому варіанті атаки зловмисником є стороння людина. Під час закриття дверей кур'єром він запускає скрипт. Незважаючи на те, що кур'єр натискає кнопку блокування, насправді через атаку ні камера ні замок не реагують на команди, через що зловмисник може увійти в будинок, і після цього так само, як і в першому варіанті припинити атаку.
Amazon вже заявила, що працює над оновленням, яке сповіщатиме користувача, якщо камера не відповідає на запити протягом невеликого часу. До речі, нещодавно помилка в оновленні прошивки розумних замків призвела до їх масового відключення.
Крім вже працюючих проектів у Amazon є безліч незвичайних патентів в області доставки. Наприклад, компанія запропонувала створювати повітряні склади на літальних апаратах, які будуть служити гаванню для дронів, а також створювати аналогічні склади у висотних будівлях. Крім цього у компанії є патент, що описує концепцію зарядки дронів на ліхтарних стовпах, патент на захист дронів від хакерів і стріл, а також технологію скидання вантажів з дронів.