Aggiornamenti recenti Marzo 28th, 2024 9:00 AM
Nov 24, 2017 Marco Schiaffino Hacking, In evidenza, News, Privacy, RSS, Tecnologia, Vulnerabilità 1
Quando si parla di domotica e sicurezza, le preoccupazioni maggiori riguardano i sistemi a cui sono affidati compiti importanti per la nostra sicurezza, primo tra tutti quelli che gestiscono l’accesso all’abitazione. Quando compare un bug, di solito, è da brividi.
Questa volta il problema travolge Amazon Key, il kit dell’azienda statunitense composto dalla videocamera di sicurezza Amazon Cloud Cam abbinato a una serratura elettronica compatibile.
Un sistema piuttosto particolare, che Amazon ha programmato per consentire l’accesso a persone di cui ci si fida, compreso i fattorini che consegnano i prodotti acquistati sul servizio di e-commerce anche quando il padrone di casa è assente.
Il tutto funziona così: una volta assegnato il permesso, il fattorino (o qualsiasi altra persona a cui si è inviato un permesso di accesso temporaneo) può aprire la porta, fare quello che deve fare e uscire chiudendosi la porta alle spalle.
La sicurezza è garantita dal fatto che, al momento della consegna, la videocamera si attiva e registra tutto trasmettendolo anche in streaming al proprietario di casa.
Il problema è che, come spiegano i ricercatori di Rhino Security, la Cloud Cam è vulnerabile a un attacco tramite Wi-Fi che mette a rischio la sicurezza dell’intero sistema.
Per portare l’attacco è sufficiente usare uno strumento open source chiamato Aircrack-ng, che permette di far “saltare” l’autenticazione della Cloud Cam nella rete Wi-Fi, mandandola offline per un periodo di tempo variabile tra i 20 secondi e i 5 minuti.
L’attacco non richiede l’autenticazione sul router e può essere ripetuto per quante volte si vuole. Di conseguenza, un eventuale hacker potrebbe mettere K.O. la videocamera per tutto il tempo che desidera.
Per portarlo è sufficiente identificare il MAC address della Cloud Cam. Cosa non difficile visto che l’identificativo di tutti i prodotti Amazon comincia per FC:A1:83.
La prima conseguenza, quindi, è che un eventuale “fattorino hacker” potrebbe bloccare la registrazione e fare quello che vuole mentre ha libero accesso all’appartamento, contando sul fatto di non essere registrato in video.
Tanto più che nel momento in cui la videocamera è offline, sul dispositivo del padrone di casa non comparirebbe un avviso o una schermata nera, ma rimarrebbe un fotogramma fisso con una semplice icona che indica il buffering del video.
Il problema, però, è più ampio. Stando ai test eseguiti dai ricercatori, infatti, l’attacco coinvolgerebbe anche il sistema di chiusura della porta, che nei fatti è gestito dalla Cloud Cam. Fino a quando la videocamera è offline, quindi, la serratura non si chiude.
Il “fattorino hacker”, come si vede nel video, potrebbe anche fare la consegna regolarmente, portare l’attacco nel momento in cui chiude la porta (ma prima che scatti la serratura) e rientrare senza che dalle registrazioni o dai log risulti nulla di strano.
Naturalmente non c’è bisogno che sia proprio il fattorino a introdursi nell’abitazione. Un malintenzionato potrebbe bloccare il sistema sperando, per esempio, che la persona che ha avuto accesso all’abitazione non si accorga della mancata chiusura della porta.
Ma c’è di più: il kit Amazon Key, come scrivono i ricercatori nel report, è compatibile con tre modelli di serrature elettroniche. Due di queste hanno un pulsante all’esterno che consente di chiudere la porta autonomamente, ma il terzo (Kwikset Convert) non lo ha.
Questo significa che in caso di malfunzionamento, senza una chiave “fisica” è impossibile chiudere la porta. Il fattorino si troverebbe quindi in una situazione decisamente spinosa: la porta di un cliente aperta e nessuna possibilità di chiuderla.
Quest’ultima ipotesi, però, non ha particolari implicazioni per la sicurezza. Se non quello di rovinare la giornata a un povero addetto alle consegne.
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Gen 25, 2022 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mar 19, 2024 0
Il numero di computer di Operation Technology (OT) è in...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...
One thought on “Amazon Key può essere bloccata con un attacco Wi-Fi”