Beveiligingsonderzoekers hebben de beveiliging van Amazon Key weten te kraken, waardoor ze ongemerkt een woning konden betreden.

Met Amazon Key kunnen koeriers zichzelf binnen laten om een pakje af te leveren wanneer je niet thuis bent. Daarbij wordt hun doen en laten gevolgd via een camera voor extra veiligheid. Alleen: het systeem is al gekraakt. Onderzoekers van Rhino Security zijn erin geslaagd de camera uit te schakelen zodat ze ongezien een woning konden binnensluipen. Dat schrijft Wired.

Live meekijken
Amazon Key bestaat uit de Amazon Cloud Cam, een compatibel slim slot en de Key-app. Wanneer een koerier aan je deur komt terwijl je niet thuis bent, scant hij de barcode van je pakketje. De barcode wordt naar de cloud van Amazon verstuurd, waar de gegevens worden gecontroleerd. Indien alles klopt, wordt een bericht verstuurd naar je camera, die onmiddellijk een opname start. Via de app kun je live meekijken hoe de koerier je deur opent en het pakketje binnenzet, waarna de deur weer wordt gesloten. De camera is technisch gezien niet noodzakelijk, maar geeft de gebruiker de gemoedsrust dat hij alles in de gaten kan houden.

Onderzoekers van Rhino Security zijn er nu in geslaagd om de camera uit te schakelen en via Amazon Key een huis te betreden zonder dat de eigenaar daar melding van krijgt. De video onderaan dit artikel toont hoe de aanval in zijn werk gaat.

Nadat de koerier een eerste keer rechtmatig de woning betreedt om een pakketje af te leveren, stuurt hij via een computer die de router nabootst, deauthorization commands naar de camera, die daardoor tijdelijk offline gaat. De koerier kan vervolgens de woning opnieuw betreden, zonder dat hij door de camera wordt geregistreerd. Dit is overigens niet uniek voor Amazon Key, vrijwel elk wifi-apparaat kan met deze methode tijdelijk offline worden gehaald. Het probleem zit hem erin dat de Key-app geen melding geeft aan de gebruiker dat er een probleem is. Alles lijkt normaal te zijn verlopen.

Eenvoudig
Volgens de onderzoekers is deze aanval bijzonder eenvoudig om uit te voeren. Alles wat je nodig hebt is een computer of Raspberry Pi met een antenne om het signaal uit te sturen. De grootste uitdaging zit er wellicht in om toegelaten te worden tot het netwerk van koeriers die via Key pakketjes mogen leveren. Amazon benadrukt dat alle aspirant koeriers aan een uitvoerige controle worden onderworpen. Daarnaast belooft het om een software-update uit te rollen zodat gebruikers onmiddellijk worden verwittigd wanneer hun camera offline gaat.