Digital Life
05.02.2018

Video zeigt, wie ein Hacker Amazon Key austrickst

Amazon Key ist laut Sicherheitsforschern mehrfach unsicher. © Bild: Amazon

In einem Video ist zu sehen, wie Amazons "smartes" System zur Paketzustellung gehackt werden kann. Das System ermöglicht die Zustellung, ohne dass man selbst zu Hause ist.

Amazon hat im November in den USA mit „Amazon Key“ ein neues System vorgestellt, mit dem Pakete auch dann zu Hause zugestellt werden können, wenn Kunden gar nicht physisch anwesend sind. Die Paketboten sollen die Wohnung mit einem Türschloss per App öffnen können.

Box in der Lampe versteckt

Ein neues Video eines Sicherheitsforschers auf Twitter zeigt nun, wie dieser das System überlistet. Darin ist zu sehen, wie der Amazon-Lieferant kommt, mit der App die Tür aufschließt, und das Paket abliegt und die Tür wieder zumacht. Vorher hat der Sicherheitsforscher unter der Lampe am Gang eine Box hingehängt. Dieser nimmt er, als der Amazon-Lieferant weg ist, raus und öffnet mit der App auf seinem Handy die Tür, obwohl es sich bei dem Code für den Lieferanten eigentlich um einen „Wegwerf“-Code handelt, der nur einmal funktionieren soll.

Wie genau der Hack funktioniert, verrät der Sicherheitsforscher vorerst nicht. Er hat die Infos an Amazon geschickt und gibt dem Konzern jetzt erst mal 30 Tage Zeit, um die Sicherheitslücke zu stopfen. Das nennt man unter Hackern „Responsible Disclosure“. Das Video bereits jetzt online zu stellen, ohne Details zu verraten, erhöht den Druck auf den Konzern zu reagieren.

Bereits mehrere Schwachstellen

Es ist nicht das erste Mal, dass ein Sicherheitsforscher auf die Lücken von Amazon Key aufmerksam gemacht hat. Der Firma Rhino Security Labs in den USA ist es mit einem einfachen Programm gelungen, die Überwachungskamera, die dazu verwendet wird, um den Lieferanten auf Schritt und Tritt beim Abstellen des Pakets zu beobachten, einzufrieren lassen und zu deaktivieren.

Amazon selbst versucht das Sicherheitsproblem damals runterzuspielen. "Wir benachrichtigen derzeit Kunden, wenn die Kamera für einen längeren Zeitraum offline ist", sagte Amazon in einer Erklärung. Es sei außerdem „unwahrscheinlich“, das Angreifer diese Technik auch ausnutzen würde und es keinem Mitarbeiter gestattet sei, eine Tür zu öffnen, ohne dazu berechtigt zu sein, ein Paket zu einer bestimmten Adresse und Zeit zu liefern.

Die Sicherheitsforscher von Rhino Security Labs hatten bereits damals einen einfachen Tipp für Amazon-Kunden, die auf Sicherheit bedacht sind: „Verwendet Amazon Key nicht!" Es bleibt abzuwarten, wie Amazon auf das Video im Netz reagiert und ob sich der Konzern bemüht, die neue Sicherheitslücke zu stopfen.