محدث 3:45 مساءً التوقيت الشرقي الثلاثاء فبراير. 6 ، مع تعليق وتوضيح من أمازون ؛ 11:30 الأربعاء ، فاب. 6 ، مع تعليق الباحث ؛ 10 ص الإثنين ، فبراير. 12 ، مع أنباء عن قيام أمازون بتصحيح تطبيقات الهاتف المحمول Amazon Key. نُشرت القصة الأصلية الإثنين ، فبراير. 5.

قدمت لنا أمازون بيانًا ، هنا بالكامل:

"هذا ليس سيناريو تسليم حقيقي لأن ميزات الأمان المضمنة في تقنية تطبيق التسليم المستخدمة للتوصيل إلى المنزل لا يتم استخدامها في العرض التوضيحي. يتم تطبيق الضمانات عند استخدام تقنية السائق: يراقب نظامنا 1) أن الباب مفتوح فقط لـ فترة وجيزة من الوقت ، 2) الاتصال بالكاميرا والقفل غير متقطع ، و 3) أن الباب آمن توطين. لا يغادر السائق دون التحقق ماديًا من أن الباب مغلق. يتم تضمين السلامة والأمن في كل جانب من جوانب الخدمة ".

القصة الأصلية تتبع. مزيد من المعلومات والتوضيح بعد القصة الأصلية.

تم اختراق نظام فتح الأبواب في أمازون مرة أخرى.

صورة ثابتة من فيديو MG أثناء قيام المهاجم بتثبيت جهاز صندوق الإسقاط. الائتمان: _MG_ / تويتر
(رصيد الصورة: صورة ثابتة من فيديو MG أثناء قيام المهاجم بتثبيت جهاز صندوق الإسقاط. الائتمان: _MG_ / تويتر)

نشر باحث أمني في Bay Area ملف فيديو لإثبات صحة المفهوم على تويتر أمس (فبراير. 4) يوضح كيف يمكن لجهاز غير معروف تم وضعه بالقرب من قفل ذكي متوافق مع المفتاح أن يتداخل مع آلية قفل القفل ، مما يسمح لأي شخص بالدخول إلى منزل مزود بمفتاح.

وقال الباحث ، الذي عُرِّف فقط باسم "إم جي" ، على تويتر ، موضحًا سبب عدم توضيح كيفية عمل هجومه بالضبط: "أحجب التفاصيل حتى تتاح الفرصة لأمازون لإصلاح ذلك". "لا أريد أن يتم إساءة استخدام هذا في البرية."

حتى يتم إصلاح هذا الخلل ، قد ترغب في تأجيل شراء أو تثبيت نظام Amazon Key.

أكثر: أفضل الأقفال الذكية

إذا لم تكن معتادًا على مفتاح أمازون، إنها خدمة لعملاء Amazon Prime تتيح لـ Amazon فتح الباب الأمامي لمنزلك عن بُعد عند وصول التسليم من Amazon. تمنحك أمازون نافذة للتسليم ، لكن مشغليها يفتحون الباب عن بُعد عندما يصل شخص التوصيل إلى هناك. يضع عامل التوصيل العبوة داخل الباب الأمامي ، ثم يستخدم تطبيق الهاتف الذكي الخاص به لقفل الباب.

يتم الإشراف على الإجراء بأكمله من قبل أمازون سحابة كام كاميرا الأمان ، والتي تُظهر لكل من مشغلي Amazon عن بُعد وصاحب المنزل موجزًا ​​مباشرًا لـ وصول شخص التسليم ، وفتح الباب ، ووضع العبوة بالداخل ثم قفل الباب و مغادرة. أقفال ذكية متوافقة من صنع Kwikset و Yale و مجموعة كاملة من الكاميرا والقفل الذكي، مع التثبيت المجاني ، يكلف 250 دولارًا.

في تشرين الثاني (نوفمبر) الماضي ، وجدت شركة Rhino Security Labs أن الكمبيوتر المحمول أو الكمبيوتر الصغير يمكنه ذلك إرسال أمر "إلغاء الترخيص" إلى Cloud Cam أثناء فتح الباب ، مما أدى إلى إيقاف تشغيل الكاميرا مؤقتًا عن شبكة Wi-Fi وتسبب في تعليق تطبيق الهاتف الذكي الخاص بشخص التوصيل بعد إرسال أمر القفل إلى سحابة Amazon.

أصلحت أمازون هذا الخلل ببرنامج تصحيح ، لكن MG لم تكن راضية.

"قللت أمازون من أهمية الهجوم الأخير على هذا المنتج لأنها كانت بحاجة إلى سائق توصيل شرير لتنفيذه. وقال على تويتر. "كل البرامج الحالية."

يبدأ فيديو MG بـ "مهاجم" - يمكنك أن تقول إنه رجل سيء لأنه يرتدي قبعة محبوكة مطرزة بكلمات "CYBER CRIME" - الصعود إلى الباب الأمامي للمنزل ووضع جهاز محلي الصنع ، والذي تشير إليه MG بأنه "صندوق إسقاط الكسر والدخول" ، في ضوء خارجي المباراة. يبدو أن الجهاز هو Raspberry Pi أو كمبيوتر صغير مشابه به هوائي راديو متصل.

يقول النص الذي يظهر على الشاشة كما يغادر المهاجم "لا يلزم تكوين أو الوصول إلى الشبكة".

ثم يظهر "عامل توصيل" ويتبع ما يبدو أنه الإجراء القياسي. ينقر على تطبيق Amazon Key على هاتفه الذكي ، ويفتح الباب ، ويترك الحزمة ، ويضغط على أمر القفل على هاتفه الذكي ويغادر.

يقرأ النص التالي على الشاشة "يعود المهاجم بعد تلقي إشعار بحدث التسليم". "يمكن الآن الدخول إلى المنزل واستعادة صندوق الإسقاط." (أحد الألغاز غير المبررة هو كيف يتعلم المهاجم "حدث التسليم" بدون اتصال بالشبكة اللاسلكية المنزلية).

يُظهر الفيديو نفس المهاجم من قبل إخراج "صندوق الإسقاط" أولاً من وحدة الإضاءة ، ثم فتح الباب الأمامي بهدوء بدون أي أداة.

يتبع ذلك عرض توضيحي سريع يظهر جهاز iPhone مع تطبيق Amazon Key ينخدع بـ "صندوق الإسقاط" الموجود بجواره على حصيرة الترحيب. يفتح التطبيق الباب ، لكنه يفشل بطريقة ما في قفله بعد الضغط على أمر القفل.

قال MG إنه استخدم قفل Kwikset المتوافق مع Amazon Key المستخدم في الفيديو. ولكن نظرًا لأن جميع الأقفال المتوافقة (لا يوجد سوى عدد قليل منها) تعمل بنفس الطريقة ، فمن المحتمل أن يعمل الهجوم ضد جميع الطرز.

أرسلنا طلبًا إلى أمازون للحصول على تعليق على هذا الهجوم ، ولم نتلق ردًا بعد. ومع ذلك ، لم تخبر أمازون تك رادار أن "سائق التوصيل يجب أن يكمل جميع خطوات التسليم في المنزل على نظامه / نظامه المحمول للانتقال إلى التسليم التالي ، بما في ذلك الفحص المادي للتأكد من أن الباب مغلق."

وتابع البيان: "أثناء التسليم ، يمكن للعميل رؤية الطوابع الزمنية المتعلقة بمدة فتح الباب وتتلقى أمازون تنبيهًا إذا كان الباب مفتوحًا لأكثر من عدة دقائق". "في الحالة النادرة للغاية التي يتعذر على أمازون إغلاق الباب بعد التسليم ، نتصل بالعميل على الفور."

مرة أخرى ، لأننا لا نعرف بالضبط كيف يعمل هذا الهجوم ، لا يمكننا حقًا اقتراح كيفية تجنبه. ولكن كما هو مذكور أعلاه ، لن نستخدم إعداد Amazon Key في الوقت الحالي.

التحديث 1:

أوضح لنا أحد ممثلي أمازون أن الأشخاص الحقيقيين الذين تلقوا تدريبًا على مفتاح أمازون يحملون أجهزة خاصة معهم التواصل مع Amazon بخصوص Amazon Key ، ولا يستخدم القائمون بالتوصيل الهواتف الذكية الشخصية لتشغيل Amazon مفتاح. قال الممثل إنه بسبب الضمانات المضمنة في أجهزة الأشخاص الذين يقومون بالتوصيل ، فإن الهجوم كما تم تصويره غير ممكن أثناء التسليم الذي يدعم Amazon Key.

ومع ذلك ، قال ممثل أمازون إن الهجوم في الفيديو قد يكون ممكنًا ، إذا تمكن المهاجم من توقيت إشاراته بدقة ، في حالات الاستخدام التي تتضمن أشخاصًا آخرين تم منحهم حق الوصول إلى منزل باستخدام Amazon Key ، مثل مشاة الكلاب أو منظفات المنزل أو ضيوف المنزل. وقال الممثل إنه بسبب هذا الاحتمال ، ستقوم أمازون بتحديث تطبيقات الهواتف الذكية Amazon Key هذا الأسبوع.

التحديث 2:

في نشر المدونة فبراير. 6 ، أوضح MG أن الهجوم تضمن مراقبة معدل الإطارات لكاميرا Cloud Cam وإرسال ملف أمر إلغاء الترخيص للكاميرا مع ارتفاع الإطارات ، مشيرًا إلى أن شخصًا ما يستخدم Amazon مفتاح. قالت MG إن فصل الكاميرا يؤدي أيضًا إلى فصل القفل المتصل بالكاميرا من خلال بروتوكول Zigbee اللاسلكي منخفض الطاقة.

اعترف إم جي أيضًا أن هجومه قد لا ينجح في حالة تسليم أمازون ، لكنه قال إن هذه ليست المشكلة حقًا.

"أظهر [إثبات المفهوم] أن سائق التوصيل يفتح القفل ، ولكن يمكن بسهولة أن يكون صاحب منزل أو ضيفًا إسقاط شيئًا ما في منزلهم أو حتى الركض سريعًا إلى الداخل لأخذ شيء ما قبل القيادة " كتب. "أمازون أيضًا لا تتحدث عن حقيقة أنها تتطلب إيقاف تشغيل منبه منزلك للسائق لاستخدام مفتاح أمازون بدون مشكلة. "

التحديث 3:

قامت Amazon بتصحيح تطبيقات Amazon Key لنظامي التشغيل iOS و ذكري المظهر خلال عطلة نهاية الأسبوع لشهر فبراير. 10-11 "لإعلامك إذا لم يتمكن التطبيق من التحقق من حالة القفل لأي سبب من الأسباب" والباحث MG قال ZDNet أن هجومه لم يعد يعمل.

  • أفضل عروض المنزل الذكي
  • 75 في المائة من أقفال بلوتوث الذكية يمكن اختراقها
  • دليل المنزل الأكثر ذكاءً: ما تحتاج إلى معرفته (وشرائه)