Amazon heeft een kwetsbaarheid gedicht in zijn Key-systeem. Dat slot moet een bezorger toegang geven tot een huis om een pakket af te leveren. Een onderzoeker ontdekte onlangs een lek, waarvan het bedrijf aanvankelijk zei dat het in werkelijkheid niet te misbruiken is.
ZDNet schrijft dat Amazon in het weekend een nieuwe versie van zijn Android- en iOS-apps heeft uitgebracht waarin het de kwetsbaarheid heeft gedicht. Gebruikers krijgen nu een waarschuwing als de app de status van de deur niet kan vaststellen nadat deze geopend of gesloten is. Amazon zei in eerste instantie dat de door de onderzoeker gevonden kwetsbaarheid niet van toepassing is bij een daadwerkelijke pakketbezorging, omdat 'de demonstratie van de aanval niet de beveiligingsmaatregelen in de bezorg-app in aanmerking nam'.
De onderzoeker, bekend als MG, deelde recentelijk de details van zijn aanval nadat hij in eerste instantie alleen een video op Twitter had gedeeld. Hij schreef toen dat hij tot publicatie over was gegaan, omdat Amazon zelf de details van de aanval had gedeeld met de site Forbes naar aanleiding van de publicatie van zijn video.
MG legde uit dat zijn aanval gebruikmaakt van een Raspberry Pi, die de aanvaller in de buurt van de deur moet zetten. Het bordje zoekt naar wififrames die een bepaalde oui bevatten. Als er een bezorger aankomt die een pakket aflevert, kan hij de deur met zijn app openen. Dit zet ook de bijbehorende Amazon-camera aan, wat een hogere hoeveelheid frames tot gevolg heeft. Op dat moment zendt de Raspberry Pi een deauth-verzoek uit, waardoor de camera en het daarmee verbonden slot hun verbinding verliezen. Daardoor detecteert de software niet dat de deur nog open is en kan een kwaadwillende naar binnen lopen. Eerder kwam beveiligingsbedrijf Rhino Security Labs al met een aanval op Amazon Key.