Sicherheitslücke bei Amazon Key: Amazons Heimlieferanten können Cloud Cam abschalten
Mit der direkten Zustellung von Paketen in die Wohnung der Nutzer will Amazon einen neuen Service anbieten, der bei vielen Nutzern ein ungutes Gefühl auslösen könnte. Deshalb sollen die Postboten von der sogenannte Cloud Cam überwacht werden, die im Eingangsbereich der Wohnung platziert wird. Doch bei dem Gerät gibt es offenbar Sicherheitsmängel, die eine einfache Deaktivierung ermöglichen.
Wie Wired berichtet(öffnet im neuen Fenster) , ist es Sicherheitsforschern der Firma Rhino Security gelungen, die Kamera zu deaktivieren oder gar einzufrieren, wenn sie sich in Reichweite des WLANs befinden, in dem auch die Kamera angemeldet ist. Ist das Bild eingefroren, sehen Nutzer also weiterhin eine verschlossene Tür und würden einen Einbruch nicht mitbekommen.
Paketbote führt die Lieferung zunächst normal aus
Bei dem Angriff würde ein Paketbote sich wie gewohnt anmelden und so Zugang zu der Wohnung bekommen. Bevor die Tür dann allerdings komplett geschlossen wird, könnte auf einem Laptop oder einem anderem Gerät ein spezielles Programm gestartet werden, das dann ein Deautorisierungskommando an die Kamera sendet. Damit würde die Kamera temporär aus dem WLAN entfernt und könnte keine aktuellen Bilder mehr senden. Es handelt sich um die missbräuchliche Nutzung eines normalen WLAN-Features.
Die Kamera reagiert damit aber nicht mit einer kompletten Abschaltung oder Warnung. Stattdessen zeigt die Software im Live-Feed und der Aufzeichnung weiterhin das letzte Bild an. Damit ist auf den ersten Blick nicht zu erkennen, dass die Kamera nicht mehr läuft. Amazon will mit einem Update noch in dieser Woche reagieren und Nutzer informieren, wenn die Kamera kurz offline ist. Bislang wird dies nur bei längeren Phasen ohne Internetverbindung gemacht. Wird die Benachrichtigung auch bei kurzen Offline-Perioden gesendet, kann es natürlich zu falsch-positiven Meldungen kommen, etwa während einer kurzen Internetstörung.
Der geschilderte Angriff ist nicht unbedingt das realistischste Szenario – auch weil Amazon die Identität der Mitarbeiter bekannt ist. Wenn nach der Lieferung also ein Diebstahl bemerkt würde, wäre schnell eine verdächtige Person gefunden. Nach Angaben des Unternehmens muss jeder Mitarbeiter auch einen Hintergrundcheck durchlaufen, bevor diese Lieferungen in die Wohnung zustellen dürfen.
- Anzeige Hier geht es zum Nuki Smart Lock Pro 4.0 bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.