هشدار: کلید آمازون هک می شود! - مرکز تخصصی آپا دانشگاه قم (CSIRT)

محققان آزمایشگاه‌های امنیتی Rhino آسیب‌پذیری جدیدی را در سیستم کلید آمازون و دوربین امنیتی آن (Cloud Cam) کشف کرده‌اند. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا دوربین را کنترل کند و آن را به حالت آفلاین درآورد.

کلید آمازون که هفته گذشته به بازار عرضه شده است، به صورتی طراحی شده است که حتی در صورت عدم حضور در خانه بتوانید بسته پستی خود را تحویل بگیرند. این برنامه برای جلوگیری از سرقت بسته‌های پستی در خارج از منزل طراحی‌شده است.

این سرویس شامل دو قطعه سخت‌افزاری است: قفل هوشمند و Cloud Cam که در ارتباط با سرورهای آمازون است. هنگامی‌که پستچی برای تحویل بسته به خانه شما می‌رسد، یک درخواست برای باز کردن درب به آمازون ارسال می‌کند و پس‌ازآن آمازون هویت راننده، اطلاعات بسته و آدرس خانه را بررسی می‌کند. اگر اطلاعات صحیح باشد، درب به‌صورت خودکار بازخواهد شد و راننده می‌تواند بسته را در داخل خانه قرار دهد. سپس راننده یک درخواست برای قفل‌کردن درب ارسال می‌کند و آمازون آن را قفل می‌کند.

آزمایشگاه‌های امنیتی Rhino، یک آزمایش امنیتی در Capitol Hillانجام داد که نشان می دهد می‌توان از ضعف امنیتی پروتکل Wi-Fi که Cloud Cam و بسیاری از دستگاه‌های دیگر برای برقراری ارتباط با روتر از آن استفاده می‌کنند، بهره‌برداری کرد. یک هکر باهوش در محدوده Wi-Fi می‌تواند یک سری از دستورات deauthorization را به یک دستگاه خاص ارسال کند و به‌طور موقت اتصال آن را به اینترنت قطع کند. این بدان معنی است که مهاجم دوربین ضبط و ارسال تصاویر به سرورهای آمازون را متوقف خواهد کرد.

بنیامین كادیل، رئیس اجرایی Rhino گفت: مشكل از آنجا نشات می گیرد که در چنین وقفه‌های اینترنتی، Cloud Cam نمی‌تواند به كاربر وضعیت آفلاین بودن خود را گزارش دهد. آزمایشات شرکت Rhino نشان می‌دهد هنگامی‌که سرویس در حالت آفلاین قرار می‌گیرد بر روی صفحه نمایشگر کاربر آخرین تصویری که دوربین گرفته است باقی می‌ماند.
آمازون در بیانیه‌ای اعلام کرد که ایمنی و امنیت در هر جنبه‌ای از خدمات ساخته‌شده این شرکت وجود دارد و تأیید کرد که رانندگان تحویل بسته شرکت آمازون که مجوز ورود به خانه در اختیار دارند افراد قابل‌اعتماد هستند.
بااین‌حال، آمازون اعلام کرد که طبق برنامه‌ریزی انجام‌شده یک به‌روزرسانی برای این سیستم در این هفته ارائه خواهد شد که به‌زودی به مشتریان در این خصوص اطلاع رسانی می شود. این به‌روزرسانی باعث می‌شود زمانی که دوربین در حین تحویل در حالت آفلاین قرار بگیرد هشداری به کاربر ارسال شود. این شرکت اعلام کرد که آسیب‌پذیری Wi-Fi نمی‌تواند درب ورودی را باز کند.
بااین‌حال، این کشف نشان داد که دستگاه‌های متصل به اینترنت مانند Cloud Cam می‌توانند توسط خرابکاران مورد سوءاستفاده قرار گیرند.
آزمایشگاه‌های امنیتی Rhino بیان کرد این مشکل می تواند حل شود. برای حل ای مسئله باید Cloud Cam هنگامی که اتصالش از اینترنت قطع می شود، بتواند فیلم‌های خود را بر روی دستگاه آفلاین ذخیره کند. در حال حاضر ضبط ویدیو دوربین تنها از طریق سرورهای آمازون برای مدت 24 ساعت الی 30 روز، بسته به برنامه اشتراک مشترک امکان‌پذیر است.

منبع:

https://www.newsfactor.com/story.xhtml?story_id=10300CLALQX7

دیدگاهتان را بنویسید لغو پاسخ