Amazon Cloud Cam enthält Lücke für smarten Einbruchdiebstahl
Amazon Key öffnet Paketboten und anderen Dienstleistern die Tür zum privaten Smarthome per Cloud-Funktion. Leider lässt sich die zugehörige Überwachungskamera mit einem Trick überlisten.
Das Unternehmen Amazon bewirbt sein Smart-Home-System Key als Stressminderung für Privatpersonen, die selten zu Hause anzutreffen sind und deshalb Paketboten, Hundesittern oder Freunden und Verwandten per Cloud und smartem Türschloss den Zugang zu den eigenen vier Wänden öffnen möchten. Allerdings berichtet das Magazin Wired nun von einer Sicherheitslücke in der zu Amazon Key gehörenden Kamera (Cloud Cam), die Einbrechern zumindest ein potenzielles Schlupfloch bietet. Dazu benötigt man lediglich einen Computer mit WLAN-Schnittstelle in Reichweite des Funknetzes der Amazon-Kamera.
Denial-of-Service-Angriff friert Kamerabild ein
Die US-amerikanische Sicherheitsfirma Rhino Security Labs fand heraus, dass die Kamera für sogenannte WiFi-Jamming-Angriffe empfänglich ist und den Dienst einstellt (Denial of Service). In einem Video demonstrieren die Entdecker der Schwachstelle, wie ein Paketbote bei Amazon das Öffnen der Wohnungstür aus der Ferne anfordert. Die Cloud Cam zeigt zunächst wie vorgesehen in einer Live-Übertragung, wie der Bote die Wohnung betritt, das Paket abstellt und wieder geht. Nun sollte er eigentlich das abschließende Verriegeln der Tür durch Amazon erbitten.
Kaum ist die Tür geschlossen, lassen die Sicherheitsexperten auf ihrem Computer ein Skript laufen, das den Access Point der Kamera mit Datenpaketen überrennt (Deauthorization-Kommandos) und dazu führt, dass die Kamera vom Netz geht. Allerdings sieht der Betrachter des Live-Streams nun kein schwarzes Bild oder erhält eine Alarmmeldung, sondern das letzte Bild bleibt als Standbild erhalten – in diesem Fall eine geschlossene Wohnungstür, die den Bewohner in trügerischer Sicherheit wiegt, während der Bote unbemerkt erneut die Räume betritt.
Hersteller hat Update angekündigt
Amazon hat laut Wired reagiert und angekündigt, rasch ein Softwareupdate für die Kamera auszuliefern und außerdem Kunden zu informieren, sollte ihre Cloud Cam längere Zeit offline sein. Zwar ist es unwahrscheinlich, dass Amazon-Boten in großem Stil Wohnungen der Kunden leerräumen werden, jedoch dürfte diese Sicherheitslücke aus einem längst bekannten Angriffsszenario für WiFi-Geräte das Vertrauen in dieses Auslieferungsmodell beeinträchtigen, insbesondere da es um einen sensiblen Bereich wie Privatwohnungen geht. Amazon Key ist derzeit lediglich in einigen Metropolregionen der USA verfügbar. Das Unternehmen denkt auch darüber nach, Pakete mit einem ähnlichen Verfahren in den Gepäckraum privater Kraftfahrzeuge zuzustellen. (tiw)