Imagem de: Estudo: serviço da Amazon que deixa entregador entrar em casa é inseguro

Estudo: serviço da Amazon que deixa entregador entrar em casa é inseguro

2 min de leitura
Avatar do autor

Se você achou no mínimo inusitado o serviço de entregas da Amazon, o Amazon Key, que permite a um entregador destravar a porta de um local onde uma encomenda é aguardada, saiba que há mais problemas nele do que parece. A ideia bizarra mais à vista é a de um estranho entrando em sua casa quando ninguém mais está olhando, mas a coisa vai além: uma pesquisa identificou algumas vulnerabilidades no sistema que dá acesso ao entregador.

O Amazon Key funciona assim: o entregador chega e lê o código de barra da entrega com o Cloud Cam, aparelho da Amazon acoplado à trava da porta. Se a entrega é identificada, a porta destrava e ele pode deixar o pacote dentro de um apartamento, acabando com os problemas de entregas em casas onde não há ninguém para o recebimento.

Porém, pesquisadores da Rhino Security Labs identificaram vulnerabilidades exatamente no Cloud Cam. De acordo com os especialistas, é relativamente simples realizar um ataque DoS para enviar uma série de comandos e derrubar a conexão da câmera com a internet. Caída a conexão, não será possível monitorar as imagens remotamente.

E a porta também ficaria destrancada após esse processo, dando acesso fácil a uma residência “protegida” com o sistema da Amazon. Como em um filme de assalto, a imagem da câmera neste caso ficaria congelada, passando a impressão de que tudo está correndo bem diante da porta.

Cloud CamCloud Cam é inseguro, garante empresa de segurança.

Problema da Amazon?

Segundo a Rhino Security Labs, o problema aqui não está necessariamente no produto da Amazon, mas no fato de que qualquer produto conectado sem fio à internet pode ter a conexão derrubada após o envio de sucessivos comandos. Isso é conhecido como ataque de desautenticação.

“A chamada técnica de desautenticação não é exatamente m bug no Cloud Cam”, registram os especialistas. “Esse é um problema de basicamente todos os dispositivos WiFi que permite a qualquer um simular um comando de um roteador WiFi que temporariamente derruba o dispositivo da rede.”

Contudo, a culpa da Amazon reside no fato de as imagens simplesmente congelarem em vez de apagarem quando a câmera perde a conexão. Ela sequer envia uma notificação ao usuário informado sobre a desconexão.

“A câmera da Amazon não responde ao ataque apagando ou alertando o usuário de que está offline. Em vez disso, ela continua a mostrar a qualquer espectador — ou a qualquer pessoa assistindo posteriormente à gravação — o último quadro visto pela câmera quando ela estava conectada.”

Em suma, a Amazon não parece ter pensado na possibilidade de alguém forçar uma queda de conexão para tentar violar uma porta protegida pela Cloud Cam.

Fontes

Comentários

Conteúdo disponível somente online
Veja também
Estudo: serviço da Amazon que deixa entregador entrar em casa é inseguro