2313243

Sicherheitsexperten warnen vor Amazon Key

21.11.2017 | 17:15 Uhr |

Amazons neues Paket-Abstellsystem Key weist massive Sicherheitslücken auf und kann Einbrechern Tür und Tor öffnen.

Amazon will seinen Kunden die Paketzustellung so einfach wie möglich machen. Mit Amazon Key hat der Online-Händler in den USA erst vor wenigen Wochen ein neues Feature für Prime-Kunden vorgestellt. Key umfasst ein spezielles Türschloss, das von einem Amazon-Kurier per App geöffnet werden kann. Damit soll er Pakete direkt im Haus oder in der Wohnung des Kunden abstellen können, auch wenn dieser nicht zu Hause ist. Damit der Kurier das traute Heim auch wirklich nur zum Abstellen des Pakets betritt, wird Amazon Key mit einer zusätzlichen Kamera ausgeliefert, die den Dienstleister beim Betreten von Haus oder Wohnung überwachen soll.

Das Sicherheitsunternehmen Rhino Security hat die Technik genauer unter die Lupe genommen und warnt vor Amazon Key. Den Experten gelang es mit einem einfachen Tool, die Sicherheitskamera einzufrieren. So konnten sie sich unbemerkt in der mit Amazon Key geöffneten Wohnung bewegen. Im Live-Feed der Kamera sieht der Amazon-Kunde nur seine geschlossene Wohnungstür.

Der Angriff gelang Rhino Security über eine DDoS-Attacke im WLAN-Netz, in dem auch die Kamera eingeklinkt war. Hier werden mehrere Befehle an die Kamera und die Amazon-Cloud gesendet – so lange, bis die Kamera überfordert ist und beim letzten Bild einfriert. Der Test-Kurier konnte diesen Zustand durch die Ausführung eines Programms auf einem Laptop oder einem Raspberry Pi herbeiführen. Während der Amazon-Kunde im Überwachungsstream nur ein Standbild seiner leeren Wohnung sieht, könnten der Zusteller und seine Komplizen inzwischen unbemerkt die Wohnung oder das Haus plündern. Sind sie fertig, beenden sie das DDoS-Programm und die Amazon-Kamera zeigt wieder den normalen Video-Feed an. Die Hacker-Taktik funktioniert nicht nur bei der Amazon-Kamera, sondern auch bei anderen Modellen.

Amazon selbst hat das Problem bereits erkannt und betreibt Schadensbegrenzung. Der Online-Händler will nun beobachten, wann die Sicherheitskamera für längere Zeit offline ist. Tritt dieser Zustand ein, erhält der Kamera-Besitzer eine Benachrichtigung von Amazon. Eine wirkliche Lösung für das Problem hat Amazon jedoch nicht. Die Lücke lässt sich nicht per Patch stopfen. Gegenüber Wired spielte Amazon das Problem herunter. Der Konzern halte es für sehr unwahrscheinlich, dass jemand die von Rhino Security gefundene Sicherheitslücke ausnutzen werde.

Laut den Sicherheitsexperten ist der Kamera-Hack jedoch nicht die einzige Möglichkeit, in eine mit Amazon Key ausgestattete Wohnung einzudringen. Auch der für das Schloss verwendete, drahtlose Zigbee-Standard ist unsicher. Ein Krimineller könnte dem Amazon-Kurier folgen und mit einem Befehl verhindern, dass sich die Wohnungstür nach dem Abstellen wieder verriegelt. Ein Kurier in Eile könnte diesen Umstand eventuell nicht bemerken. Auch hier redet sich Amazon heraus und will dafür garantieren, dass der Mitarbeiter stets prüft, ob die Tür wieder verriegelt ist.  

Amazon Key: Smarter Türöffner lässt Paketzusteller in die Wohnung

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2313243