Lỗ Hổng Amazon Key Có Thể Cho Phép Người Giao Hàng Độc Lập Tắt Camera Của Bạn

Khi Amazon ra mắt dịch vụ Amazon Key tháng trước, họ cũng cung cấp một biện pháp chống lại bất kỳ ai—thực tế là hầu hết mọi người—có thể cảm thấy sợ hãi khi dịch vụ này đưa người lạ vào nhà bạn mà không gặp trở ngại nào. Loại phương thuốc an ninh đó? Một chiếc camera có kết nối internet mang tên Cloud Cam, được thiết kế để đặt đối diện cửa của bạn và ghi lại mọi giao hàng của Amazon Key một cách đảm bảo.

Nhưng bây giờ các nhà nghiên cứu an ninh đã chứng minh rằng với một chương trình đơn giản chạy từ bất kỳ máy tính nào trong phạm vi Wi-Fi, chiếc camera đó không chỉ có thể bị tắt mà còn bị đóng băng. Người xem theo dõi luồng trực tiếp hoặc ghi lại chỉ thấy một cánh cửa đóng, ngay cả khi cửa thực sự của họ đang mở và có người đang bước vào bên trong. Cuộc tấn công này có thể cho phép người giao hàng tự do đánh cắp từ khách hàng Amazon một cách âm thầm, hoặc xâm nhập vào nơi tốt nhất của họ.

Và trong khi mối đe dọa từ một người giao hàng có khả năng hack camera có vẻ là một cách không thể tin được để nhà bạn bị đột nhập, các nhà nghiên cứu lập luận rằng nó có thể tước đi một biện pháp bảo vệ chính trong hệ thống an ninh của Amazon. Khi MYTOUR thông báo nghiên cứu này cho Amazon, công ty đã đáp lại rằng họ dự định gửi một bản cập nhật phần mềm tự động để giải quyết vấn đề vào cuối tuần này.

"Camera là một phần rất quan trọng mà Amazon đang dựa vào để quảng bá sự an toàn của nó như một giải pháp an ninh," nói Ben Caudill, người sáng lập của công ty an ninh Rhino Security Labs đặt tại Seattle, các nhà nghiên cứu của họ đã phát hiện và thực hiện cuộc tấn công Amazon Key. "Tắt camera đó theo lệnh là một khả năng mạnh mẽ khi bạn đang nói về môi trường nơi bạn phụ thuộc nặng nề vào việc đó là một cơ chế an toàn quan trọng."

Chìa Khóa Chính

Cuộc tấn công Amazon Key của Rhino Labs theo kiểu chứng minh là khá đơn giản. Trong bản minh họa của họ, được hiển thị trong video ở trên, một người giao hàng mở khóa cửa với ứng dụng Amazon Key của họ, mở cửa, để gói hàng và sau đó đóng cửa sau lưng họ. Thông thường, họ sau đó sẽ khóa cửa với ứng dụng của họ. Trong cuộc tấn công này, thay vào đó, họ chạy một chương trình trên máy tính xách tay của họ—hoặc, các nhà nghiên cứu của Rhino đề xuất, trên một thiết bị cầm tay đơn giản mà bất kỳ ai cũng có thể xây dựng bằng cách sử dụng máy tính nhỏ gọn Raspberry Pi và một anten—gửi một loạt các lệnh "hủy đăng ký" đến Cloud Cam của ngôi nhà.

Kỹ thuật gọi là deauth không phải là một lỗi phần mềm trong Cloud Cam. Đây là một vấn đề với hầu hết các thiết bị Wi-Fi, cho phép bất kỳ ai giả mạo một lệnh từ bộ định tuyến Wi-Fi để tạm thời đá một thiết bị khỏi mạng. Trong trường hợp này, kịch bản của Rhino gửi lệnh lại và lại, để giữ cho camera nằm ngoài mạng trong khi kịch bản đang chạy. Điều khiển đáng sợ nhất là camera của Amazon không phản ứng lại cuộc tấn công bằng cách tắt đèn hoặc thông báo cho người dùng biết rằng camera đã offline. Thay vào đó, nó tiếp tục hiển thị bất kỳ người xem trực tiếp nào—hoặc bất kỳ người nào xem lại một bản ghi—theo khung hình cuối cùng mà camera nhìn thấy khi nó kết nối.

Điều đó có nghĩa là lệnh deauth được gửi bởi người giao hàng biến thành hacker đứng ngay bên ngoài cửa của bạn có thể làm đóng băng camera với hình ảnh của một cánh cửa đóng, trong khi anh ta sau đó bước vào lần thứ hai và đóng cửa sau lưng họ. Khi đã vào trong, kẻ xâm nhập có thể dễ dàng di chuyển ra khỏi tầm nhìn của Cloud Cam, dừng gửi lệnh deauth để cho phép camera kết nối lại và nhấn nút khóa trên ứng dụng của họ. Cảnh báo khóa cửa lẫn ghi chú video đều không có vẻ bất thường đối với người dùng Amazon Key, ngay cả khi một người lạ đang nghịch phá bên trong nhà họ.

"Là một người giao hàng của Amazon được tin tưởng một phần, bạn có thể đe dọa an ninh của bất kỳ ngôi nhà nào mà bạn có quyền truy cập tạm thời mà không có bất kỳ nhật ký hoặc thông báo nào có vẻ bất thường hoặc đáng ngờ," Caudill nói.

"Hiện tại, chúng tôi thông báo cho khách hàng nếu camera offline trong một khoảng thời gian kéo dài," Amazon nói trong một tuyên bố. "Vào cuối tuần này, chúng tôi sẽ triển khai một bản cập nhật để cung cấp thông báo nhanh hơn nếu camera offline trong quá trình giao hàng."

Tuy nhiên, công ty giảm nhẹ khả năng nhân viên giao hàng của mình thực sự lợi dụng kỹ thuật của Rhino, và lưu ý rằng nó không cho bất kỳ nhân viên nào mở khóa cửa mà không được ủy quyền để giao hàng tại một địa chỉ và thời gian nhất định, ngay cả khi camera bị tắt. Amazon cũng nhấn mạnh rằng nó cung cấp một Đảm bảo Hạnh phúc, và tuyên bố—mà không có bằng chứng trực tiếp—rằng nó sẽ có thể xác định ngay lập tức bất kỳ tài xế nào sử dụng mánh khóe để đột nhập vào nhà của người nào đó.

"Mọi tài xế giao hàng đều phải trải qua một cuộc kiểm tra lịch sử rộng lớn được xác minh bởi Amazon trước khi họ có thể thực hiện giao hàng trong nhà, mỗi lần giao hàng đều được kết nối với một tài xế cụ thể, và trước khi chúng tôi mở cửa cho một lần giao hàng, Amazon xác minh rằng tài xế đúng địa chỉ, đúng thời gian dự kiến," tuyên bố của công ty đọc.

Theo quan điểm của Amazon, bất kỳ nhân viên giao hàng nào lợi dụng thủ thuật đó để trộm cắp hoặc gián điệp vẫn sẽ phải đối mặt với những thách thức nghiêm trọng. Họ sẽ là nghi phạm chủ yếu, để nói một cách đúng, đối với bất kỳ vụ trộm nào rõ ràng trong nhà, vì vậy họ sẽ phải giới hạn tội ác của mình thành những vụ trộm tinh tế hơn, như sao chép tài liệu nhạy cảm để trộm danh tính. Và tất nhiên, họ cũng phải tìm cách khác để rời khỏi nhà, vì họ đã khóa cửa trước họ.

"Ở điểm bạn đủ thông minh để làm điều này, đó là phần dễ dàng của vấn đề," Caudill lập luận.

Một Cuộc Tấn Công Riêng Biệt

Nhóm nghiên cứu của Rhino cũng chỉ ra rằng khi cuộc tấn công của họ đẩy một Cloud Cam ra khỏi mạng, nó cũng ngắt kết nối khóa Amazon Key trên cửa nốt, bởi vì khóa không thực sự có kết nối internet riêng của mình. Thay vào đó, nó giao tiếp qua giao thức không dây Zigbee với Cloud Cam, nơi đóng vai trò là kết nối với bộ định tuyến Wi-Fi và phần còn lại của internet.

Các nhà nghiên cứu lập luận rằng điều này có thể kích thích một cuộc tấn công riêng biệt nữa. Trong tình huống đó, một hacker theo đuổi một người giao hàng của Amazon và đợi họ giao hàng. Ngay khi họ đang đóng cửa để rời đi, hacker kích hoạt lệnh deauth, làm cho Amazon Key bị ngắt kết nối và ngăn cửa khóa. Khi người giao hàng rời đi, hacker sau đó đột nhập vào nhà thông qua cửa không khóa.

Nhưng cuộc tấn công đó, mặc dù mở cho một bộ sưu tập rộng lớn hơn về những hacker tiềm ẩn so với kịch bản nhân viên giao hàng lừa đảo, nhưng cũng ít khả năng thành công hơn. Người giao hàng sẽ phải hối hả hoặc thiếu cẩn thận đến mức không kéo cửa để kiểm tra xem nó đã khóa hay chưa, và không để ý rằng ứng dụng của họ hiển thị một thông báo trạng thái "đang khóa" kéo dài, một biểu tượng quay và sau đó là một lỗi hết thời gian. Amazon lưu ý rằng những người giao hàng của họ được bảo không bao giờ để lại một ngôi nhà khi cửa nó mở ra, và công ty cũng sẽ gọi điện thoại ngay lập tức cho khách hàng nếu họ thấy cửa của họ bị để mở trong thời gian dài hơn vài phút.

Caudill thừa nhận rằng việc một nhân viên giao hàng lừa đảo tắt camera của ai đó đóng vai trò là một cuộc tấn công thực tế hơn. Và trong khi ông lưu ý rằng một bản cập nhật phần mềm của Amazon thay đổi cách mà camera Amazon Key thông báo cho khách hàng khi nó offline có thể giảm thiểu vấn đề, ông cũng lập luận rằng một sửa chữa đầy đủ sẽ yêu cầu lưu trữ một lượng ghi âm cụ thể cục bộ ngay cả khi nó không kết nối với internet, để bất kỳ việc mở cửa nào tinh nghịch vẫn được ghi lại ngay cả khi camera không kết nối mạng.

Bất cứ điều gì ngắn hạn hơn một sửa chữa đầy đủ, Caudill nói, sẽ chỉ có những hậu quả nghiêm trọng hơn khi Amazon mở Amazon Key cho các dịch vụ khác trong những tháng sắp tới. Công ty đã cho biết kế hoạch tích hợp tính năng này với dịch vụ dọn dẹp Merry Maids, dịch vụ đưa chó đi dạo Rover, và nhiều hơn nữa.

Trong khi đó, người dùng cẩn thận có thể xem xét việc thiết lập một camera an ninh khác làm bản sao lưu cho Cloud Cam của Amazon. Họ có thể, trong giả thiết, đặt một đồng hồ hoặc vật thể di chuyển khác trong khung nhìn của Cloud Cam, để bất kỳ đóng băng hình ảnh nào trở nên ngay lập tức rõ ràng. Hoặc Caudill đề xuất một giải pháp khắc nghiệt hơn nhưng đơn giản hơn nhiều: "Đừng sử dụng Amazon Key."