Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Nov 24, 2017 Marco Schiaffino Hacking, In evidenza, News, Privacy, RSS, Tecnologia, Vulnerabilità 1
Quando si parla di domotica e sicurezza, le preoccupazioni maggiori riguardano i sistemi a cui sono affidati compiti importanti per la nostra sicurezza, primo tra tutti quelli che gestiscono l’accesso all’abitazione. Quando compare un bug, di solito, è da brividi.
Questa volta il problema travolge Amazon Key, il kit dell’azienda statunitense composto dalla videocamera di sicurezza Amazon Cloud Cam abbinato a una serratura elettronica compatibile.
Un sistema piuttosto particolare, che Amazon ha programmato per consentire l’accesso a persone di cui ci si fida, compreso i fattorini che consegnano i prodotti acquistati sul servizio di e-commerce anche quando il padrone di casa è assente.
Il tutto funziona così: una volta assegnato il permesso, il fattorino (o qualsiasi altra persona a cui si è inviato un permesso di accesso temporaneo) può aprire la porta, fare quello che deve fare e uscire chiudendosi la porta alle spalle.
La sicurezza è garantita dal fatto che, al momento della consegna, la videocamera si attiva e registra tutto trasmettendolo anche in streaming al proprietario di casa.
Il problema è che, come spiegano i ricercatori di Rhino Security, la Cloud Cam è vulnerabile a un attacco tramite Wi-Fi che mette a rischio la sicurezza dell’intero sistema.
Per portare l’attacco è sufficiente usare uno strumento open source chiamato Aircrack-ng, che permette di far “saltare” l’autenticazione della Cloud Cam nella rete Wi-Fi, mandandola offline per un periodo di tempo variabile tra i 20 secondi e i 5 minuti.
L’attacco non richiede l’autenticazione sul router e può essere ripetuto per quante volte si vuole. Di conseguenza, un eventuale hacker potrebbe mettere K.O. la videocamera per tutto il tempo che desidera.
Per portarlo è sufficiente identificare il MAC address della Cloud Cam. Cosa non difficile visto che l’identificativo di tutti i prodotti Amazon comincia per FC:A1:83.
La prima conseguenza, quindi, è che un eventuale “fattorino hacker” potrebbe bloccare la registrazione e fare quello che vuole mentre ha libero accesso all’appartamento, contando sul fatto di non essere registrato in video.
Tanto più che nel momento in cui la videocamera è offline, sul dispositivo del padrone di casa non comparirebbe un avviso o una schermata nera, ma rimarrebbe un fotogramma fisso con una semplice icona che indica il buffering del video.
Il problema, però, è più ampio. Stando ai test eseguiti dai ricercatori, infatti, l’attacco coinvolgerebbe anche il sistema di chiusura della porta, che nei fatti è gestito dalla Cloud Cam. Fino a quando la videocamera è offline, quindi, la serratura non si chiude.
Il “fattorino hacker”, come si vede nel video, potrebbe anche fare la consegna regolarmente, portare l’attacco nel momento in cui chiude la porta (ma prima che scatti la serratura) e rientrare senza che dalle registrazioni o dai log risulti nulla di strano.
Naturalmente non c’è bisogno che sia proprio il fattorino a introdursi nell’abitazione. Un malintenzionato potrebbe bloccare il sistema sperando, per esempio, che la persona che ha avuto accesso all’abitazione non si accorga della mancata chiusura della porta.
Ma c’è di più: il kit Amazon Key, come scrivono i ricercatori nel report, è compatibile con tre modelli di serrature elettroniche. Due di queste hanno un pulsante all’esterno che consente di chiudere la porta autonomamente, ma il terzo (Kwikset Convert) non lo ha.
Questo significa che in caso di malfunzionamento, senza una chiave “fisica” è impossibile chiudere la porta. Il fattorino si troverebbe quindi in una situazione decisamente spinosa: la porta di un cliente aperta e nessuna possibilità di chiuderla.
Quest’ultima ipotesi, però, non ha particolari implicazioni per la sicurezza. Se non quello di rovinare la giornata a un povero addetto alle consegne.
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Gen 25, 2022 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...
One thought on “Amazon Key può essere bloccata con un attacco Wi-Fi”