ビデオAmazon.com の Key ドアロックのセキュリティが再び疑問視されています。
「ザ・キー」は、ワイヤレスネットワーク対応の電気錠で、配達員がAmazonプライム会員の自宅や職場に商品を配達する際に一時的に無効にできるように設計されています。プライム会員は、荷物を受け取るために一日中待つことなくAmazonで注文した商品を受け取ることができ、Amazonは本来なら得られなかった売上を獲得できます。配達員はWi-Fi接続のビデオカメラで録画されるため、配達員が商品を配達したことを証明し、家族の大切な品物を盗まれないようにすることができます。
配達員はスマートフォンアプリを使ってドアの解錠を依頼し、箱を家の中に置いて立ち去り、アプリを使ってドアを施錠します。アプリはAmazonと通信し、Amazonはインターネット経由でカメラに接続します。カメラはワイヤレスで施錠または解錠のコマンドをKeyに送信します。
ノック?誰もいない?大丈夫、AmazonがIoTスマートロック経由で勝手に入ってくる
続きを読む
これらのデバイスにはすでに厄介な欠陥が 1 つあることが判明している。昨年、Rhino Security Labs は、カメラを家庭の無線ネットワークから遮断し、インターネットから切断して録画を停止し、ドアに自動ロックをかけることもできないようにする方法を発見した。
今回、ハッカーがKeyへの新たな攻撃を実演しました。以下のTwitter動画で示されているように、この技術により、配達員がワイヤレスでドアを施錠しようとした後でも、Keyで「施錠」された玄関ドアをハッカーが開けることができるようになります。
基本的に、配達員は現場に到着し、スマートフォンを使って一時的にドアのロックを解除し、荷物を置き、アプリを使ってキーを再び「ロック」して立ち去ります。しかし、家のWi-Fi圏内、または近くに配置された電子機器の箱が、Amazonからカメラへのロックコマンドをブロックするため、ドアが自動的にロックされることはありません。そのため、配達員が立ち去った後でも、犯人は侵入することが可能です。これはRhino Labsのセキュリティホールの亜種であり、不正な荷物配達員ではなく電子機器の箱がドアのロックを解除する仕組みです。
— MG (@_MG_) 2018年2月4日私はこれを「Break & Enter ドロップボックス」と呼んでいますが、これは Amazon Key (スマートロックとスマート カメラのコンボ) とよく連携します。
すべて最新のソフトウェアです。Amazonはこの製品に対する前回の攻撃を軽視していました。実行には悪意のある配達員が必要だったからです。今回はそうではありません。pic.twitter.com/35krz46Kab
この盗難は「ドロップボックス」、つまりWi-Fi接続を備えたコンピューターの一種を利用していたことが分かります。このコンピューターはキーの自動ロックを防止できます。ハッキングの仕組みはまだ正確には分かっていません。
The RegisterはAmazonとデモのソースであるMGに詳しい情報を問い合わせており、何か情報が入り次第この記事を更新する予定だ。
MGはTwitterで、「Amazonが修正するまで詳細は伏せておきます。Rhino Security Labsはこのロックに以前から脆弱性を発見しており、Amazonの対応は期待外れでした。Amazonが修正するまではこれ以上お伝えできません。この脆弱性が悪用されることは避けたいです」と述べた。
Amazonはこの最新の脆弱性を認識していると承知しています。同社は以前、Rhino Labsによって発見されたセキュリティ脆弱性を軽減することができました。®
追加更新
アマゾンは声明で、この攻撃を軽視し、ドアが長時間施錠されていないかどうかを自社のシステムが検知できるはずであり、配達員は出発前に玄関のドアが施錠されているか確認すべきだと述べた。
