Digital Life 21.11.2017

Sicherheitsforscher: "Verwendet Amazon Key nicht!"

Amazon Key ist laut Sicherheitsforschern mehrfach unsicher. © Bild: Amazon

Amazons neues, "smartes" System zur Paketzustellung zu Hause ist laut IT-Profis nicht sicher. Wie das System ausgenutzt werden kann.

Amazon hat kürzlich in den USA mit „ Amazon Key“ ein neues System vorgestellt, mit dem Pakete auch dann zu Hause zugestellt werden können, wenn Kunden gar nicht physisch anwesend sind. Die Paketboten sollen die Wohnung mit einem Türschloss per App öffnen können. Freilich dient der Besuch nur zum Abstellen des Pakets, und Kunden können die Lieferanten mittels Kamera bei Schritt und Tritt verfolgen und diese Bilde auch aufzeichnen lassen. So der Plan. Das System heißt „Amazon Key“ und besteht aus einem smarten Türschloss und einer Kamera. Es ist in den USA seit wenigen Wochen auf dem Markt.

Amazon Key © Bild: Amazon
Doch was passiert, wenn der Monitor der Überwachungskamera einfach einfriert? Sicherheitsforschern der Firma Rhino Security Labs in den USA ist es mit einem einfachen Programm gelungen, die Überwachungskamera zu deaktivieren und einzufrieren. Ein Zuschauer, der seinen Live- oder aufgezeichneten Stream beobachtet, sieht nur eine geschlossene Tür, selbst wenn seine eigentliche Tür geöffnet wird und jemand hineingleitet.

Kamera friert ein

"Die Kamera ist eine Sache, auf die sich Amazon stützt, wenn es darum geht, die Sicherheit als sichere Lösung zu etablieren", sagt Ben Caudill, der Gründer des in Seattle ansässigen Sicherheitsunternehmens, dessen Forscher den Amazon Key-Angriff entdeckten und demonstrierten gegenüber „Wired“. “Die Deaktivierung dieser Kamera per Befehl ist eine ziemlich mächtige Fähigkeit, wenn man über Umgebungen spricht, in denen man sich darauf verlässt, dass dies ein kritischer Sicherheitsmechanismus ist.“

Überwachungskameras, die eigentlich zur Sicherheit dienen sollen, wurden bereits in der Vergangenheit mehrfach von Sicherheitsforschern gehackt. Die österreichische Firma SEC Consult hat etwa eine schwere Sicherheitslücke in Sony-Kameras aufgedeckt, bei der sich die Kamera per Fernwartungszugang freischalten ließ. Auch bei diesem Angriff war es möglich, den Kunden vorzugaukeln, dass sie gerade Live-Bilder sehen, während Einbrecher in Wahrheit gerade etwa eine Bank ausrauben.

Angriff im WLAN-Netz

Die Sicherheitslücke, die bei der Live-Demo ausgenutzt wurde, ist relativ einfach und ist nicht nur exklusiv auf Amazon Key anwendbar. Bei diesem Angriff führt der Paketzusteller beim Verlassen der Wohnung ein Programm auf seinem Laptop oder kleinem Raspberry Pi aus und schafft es so, dass die Kamera beim letzten Frame einfriert. Dabei werden im Zug eines DDoS-Angriffs mehrere Befehle an die Cloud Cam von Amazon gesendet.

Youtube 2GSK7cIimFY

Der DDoS-Angriff selbst wird über das WLAN-Netz durchgeführt, in dem die Kamera drin hängt. Die Kamera bleibt dadurch so lange deaktiviert und im eingefrorenen Zustand, bis die „Deautorization“-Befehle nicht mehr gesendet werden. Der Lieferant oder sein Komplize könnten in der Zwischenzeit die Wohnung leer räumen.

Update soll Abhilfe schaffen

Amazon selbst versucht das Problem runterzuspielen. "Wir benachrichtigen derzeit Kunden, wenn die Kamera für einen längeren Zeitraum offline ist", sagte Amazon in einer Erklärung gegenüber „Wired“. Der US-Konzern will zudem ein Update bereit stellen, dass die Kunden früh warnen soll, wenn die Kamera während der Auslieferung offline geht. Das löst das Problem jedoch nur bedingt, denn das Eindringen in die Wohnung auf diese Art und Weise wie von den Sicherheitsforschern gezeigt ist damit dennoch möglich.

Amazon verharmloste laut „Wired“ jedoch die Wahrscheinlichkeit, dass seine Mitarbeiter tatsächlich die Technik von Rhino ausnutzen, und merkte an, dass es keinem Mitarbeiter gestatte, eine Tür zu öffnen, ohne dazu berechtigt zu sein, ein Paket zu einer bestimmten Adresse und Zeit zu liefern.

Weitere Angriffsmöglichkeiten

Doch der Angriff auf die Cloud Cam über das WLAN-Netzwerk ist nicht das einzige Angriffsszenario, das Amazon Key unsicher macht und potentielle Diebe in die Wohnung bringt. Weil das smarte Schloss nicht über eine eigene Internetverbindung verfügt, sondern mit dem drahtlosen Zigbee-Standard mit der Kamera kommuniziert, die zugleich als Verbindung zum WLAN-Router fungiert, gibt es noch weitere Möglichkeiten für schlaue Techniker, in Wohnungen mit Amazon Key einzudringen.

In diesem Szenario folgt ein Krimineller einer Amazon-Lieferperson und wartet darauf, dass sie eine Lieferung machen. Gerade als sie die Tür zum Verlassen schließen, wird ein Befehl ausgelöst, der verhindert, dass die Tür verriegelt wird. Die Zustellperson merkt dies nur, wenn sie besonders vorsichtig ist.

Hier versucht sich Amazon rauszureden, in dem der Konzern seinen Mitarbeiter sagt, dass sie keinesfalls die Wohnung verlassen dürfen, ohne zu prüfen, ob das Schloss wieder verriegelt sei. Zudem würde Amazon in so einem Fall „sofort beim Kunden anrufen und ihn darüber informieren“. Die Sicherheitsforscher von Rhino Security Labs haben einen einfachen Tipp für Amazon-Kunden, die auf Sicherheit bedacht sind: „Verwendet Amazon Key nicht!"

( futurezone ) Erstellt am 21.11.2017