Estudo: serviço da Amazon que deixa entregador entrar em casa é inseguro

2 min de leitura
Imagem de: Estudo: serviço da Amazon que deixa entregador entrar em casa é inseguro

Se você achou no mínimo inusitado o serviço de entregas da Amazon, o Amazon Key, que permite a um entregador destravar a porta de um local onde uma encomenda é aguardada, saiba que há mais problemas nele do que parece. A ideia bizarra mais à vista é a de um estranho entrando em sua casa quando ninguém mais está olhando, mas a coisa vai além: uma pesquisa identificou algumas vulnerabilidades no sistema que dá acesso ao entregador.

O Amazon Key funciona assim: o entregador chega e lê o código de barra da entrega com o Cloud Cam, aparelho da Amazon acoplado à trava da porta. Se a entrega é identificada, a porta destrava e ele pode deixar o pacote dentro de um apartamento, acabando com os problemas de entregas em casas onde não há ninguém para o recebimento.

smart people are cooler

Tecnologia, negócios e comportamento sob um olhar crítico.

Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo

Porém, pesquisadores da Rhino Security Labs identificaram vulnerabilidades exatamente no Cloud Cam. De acordo com os especialistas, é relativamente simples realizar um ataque DoS para enviar uma série de comandos e derrubar a conexão da câmera com a internet. Caída a conexão, não será possível monitorar as imagens remotamente.

E a porta também ficaria destrancada após esse processo, dando acesso fácil a uma residência “protegida” com o sistema da Amazon. Como em um filme de assalto, a imagem da câmera neste caso ficaria congelada, passando a impressão de que tudo está correndo bem diante da porta.

Cloud CamCloud Cam é inseguro, garante empresa de segurança.

Problema da Amazon?

Segundo a Rhino Security Labs, o problema aqui não está necessariamente no produto da Amazon, mas no fato de que qualquer produto conectado sem fio à internet pode ter a conexão derrubada após o envio de sucessivos comandos. Isso é conhecido como ataque de desautenticação.

“A chamada técnica de desautenticação não é exatamente m bug no Cloud Cam”, registram os especialistas. “Esse é um problema de basicamente todos os dispositivos WiFi que permite a qualquer um simular um comando de um roteador WiFi que temporariamente derruba o dispositivo da rede.”

Contudo, a culpa da Amazon reside no fato de as imagens simplesmente congelarem em vez de apagarem quando a câmera perde a conexão. Ela sequer envia uma notificação ao usuário informado sobre a desconexão.

“A câmera da Amazon não responde ao ataque apagando ou alertando o usuário de que está offline. Em vez disso, ela continua a mostrar a qualquer espectador — ou a qualquer pessoa assistindo posteriormente à gravação — o último quadro visto pela câmera quando ela estava conectada.”

Em suma, a Amazon não parece ter pensado na possibilidade de alguém forçar uma queda de conexão para tentar violar uma porta protegida pela Cloud Cam.

smart people are cooler

Tecnologia, negócios e comportamento sob um olhar crítico.

Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo

Fontes

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.