Un fallo de seguridad en Amazon Key permite colarse a los mensajeros

Hace algunas semanas Amazon lanzó en Estados Unidos un novedoso servicio llamado Key gracias al cual sus mensajeros pueden dejar los paquetes dentro de casa. El sistema requiere una cerradura electrónica y utiliza la cámara domótica Amazon Cloud Cam para informar al usuario de la llegada de sus pedidos, dejando constancia del paso en forma de vídeo.

Pese a que todo el proceso está supervisado y se puede seguir por el móvil, más de un cliente de Amazon ha mostrado sus reticencias a dejar que un completo desconocido pueda abrir la puerta de casa aunque sea por solo unos instantes. Bien, la firma Rhino Security Labs ha descubierto que un fallo en la Cloud Cam podría permitir que un repartidor con malas intenciones se colara fácilmente en casa o que un ladrón aprovechara una entrega para hacer lo mismo.

El método desarrollado por Rhino Security es relativamente sencillo y consiste en enviar una señal de desautorización a la Cloud Cam mediante un dispositivo Wi-Fi como por ejemplo una Raspberry Pi, expulsando temporalmente a la cámara de la red. Este ataque puede repetirse continuamente, permitiendo al mensajero entrar en casa sin que pueda ser monitorizado.

La apertura no autorizada de la puerta es posible puesto que el cierre se desconecta cuando la cámara pierde la conexión a la red Wi-Fi. Esto se debe a que la cerradura electrónica carece de acceso a Internet por sí misma y utiliza la cámara de seguridad como puente al router.

Peor aún, cuando la cámara pierde la conexión a la red Wi-Fi muestra al usuario el último frame capturado antes de la desconexión. Esto hace sencillo engañar al cliente, haciéndole creer que la puerta está cerrada cuando en realidad hay un desconocido haciendo lo que no debería hacer.


Al margen del acceso no autorizado por parte de un mensajero, también existe la posibilidad de que un ladrón le esté esperando y desconecte la cámara justo cuando se está cerrando la puerta, impidiendo su bloqueo.

Según los investigadores, este ataque presenta más dificultades. De entrada, el mensajero podría percatarse de que no se activa el cerrojo. Asimismo, la aplicación de Amazon utilizada para abrir y entregar los paquetes muestra una notificación cuando se activa el cerrojo, y la compañía ha instruido a su personal para que comprueben que la puerta está correctamente asegurada antes de abandonar el domicilio. Si ven que el cierre permanece desactivado tras varios minutos, deben llamar al cliente.

Amazon ha sido alertada y afirma que esta misma semana lanzará una actualización que proporcionará notificaciones cuando la cámara pierda la conexión durante el proceso de entrega. Además, la compañía ha querido tranquilizar a sus clientes afirmando que examina los antecedentes de los repartidores y que cada una de sus rutas está asignada de forma individual.

Como señala Wired, una forma de evitar posibles problemas sería instalar una cámara de respaldo fabricada por otra compañía para comprobar si la imagen se ha congelado en el momento de la entrega o si por el contrario funciona correctamente y no hay actividad. O como señala Ben Caudill, fundador de Rhino Security y algo más tajante, basta con no usar Amazon Key.

Fuente: Wired
Joder han tardado poco en cagarla.
Se veía venir.
No será mejor recoger el paquete y ya está?

Tienes entregas en muchos puntos
Mal asunto....si antes era escéptico a este sistema, ahora lo soy bastante más [+risas]
Hay veces que pasa tan poco tiempo entre las predicciónes que hace la gente y el "os lo dije" que los "os lo dije" pierden casi toda la gracia.
La apertura no autorizada de la puerta es posible puesto que el cierre se desconecta cuando la cámara pierde la conexión a la red Wi-Fi. Esto se debe a que la cerradura electrónica carece de acceso a Internet por sí misma y utiliza la cámara de seguridad como puente al router.

O sea, ¿se te cae el router por lo que sea y tu puerta queda abierta?, bendita chapuza xDDDDD


Ho!
@Alejo I
A mi me asalta la duda, puesto que "Trusted party reenters" no es lo mismo que "Untrusted party enter". Creo que aunque la cerradura pierda conexión con la cámara / Wifi, almacena los certificados de acceso ella misma. Por eso se ve que la puerta se cierra en cuanto pierde la conexión. A mi me parece más un fallo de la Cloud Cam, que de la cerradura en sí misma, puesto que al perder conexión se bloquea impidiendo salir al "listo" que intente hacerle el DDOS, según se ve en el vídeo y los textos.
No es por nada pero salieron un montón de gente comentando que esto pasaría cuando se anuncio y ya ves que no han tardado nada. Si es que. Yo ni loco pienso dejar entrar a nadie, ni estoy seguro dejando entrar a familiares estando yo presente xD

agron escribió:@Alejo I
A mi me asalta la duda, puesto que "Trusted party reenters" no es lo mismo que "Untrusted party enter". Creo que aunque la cerradura pierda conexión con la cámara / Wifi, almacena los certificados de acceso ella misma. Por eso se ve que la puerta se cierra en cuanto pierde la conexión. A mi me parece más un fallo de la Cloud Cam, que de la cerradura en sí misma, puesto que al perder conexión se bloquea impidiendo salir al "listo" que intente hacerle el DDOS, según se ve en el vídeo y los textos.



Pues al igual que has entrado haces lo mismo para salir y como la cerradura la puedes abrir manualmente desde dentro no hay problema. Incluso tapas la CAM en plan se ha perdido conexión y te largas.


AMAZON → Tonto, que eres tonto, del to, no pa un rato no, tonto del to, pa siempre!... [qmparto]
Era cuestión de minutos.
HongKi está baneado por "Game over"
estas tu que dejo entrar al mensajero a mi casa sin que yo este
@mmiiqquueell estaría bien saber, si lanzando sólo el ataque se abre. Porque en el vídeo, vuelvo a decir, eso no se ve. Si sólo lo puede hacer el mensajero, y te roba, es fácil pillarlo.
Si es que son idiotas, como lo de repartir con drones entre otras cosas que aun no deberian implementarse por lo chapucero de su planteamiento y diseño y ahi los tienes erre que erre, en lugar de pensar con la puta cabeza.

De sentido comun esta gente anda bien escasa.
Yo no le dejo entrar ni estando yo delante...
Al final va ser cierta la teoria de la idiocracia.
Opino como el señor de Rhino Security [qmparto]
Al final el sistema va a ser menos seguro de lo que parecía, y eso que parecía a priori menos seguro que dejar la puerta abierta de par en par xD
Estamos hablando de violar la seguridad de nuestra casa por saciar nuestra sed consumista, ¿la gente está bien de la cabeza?
Que predecible XD XD

Bentley escribió:Si es que son idiotas, como lo de repartir con drones entre otras cosas que aun no deberian implementarse por lo chapucero de su planteamiento y diseño y ahi los tienes erre que erre, en lugar de pensar con la puta cabeza.

De sentido comun esta gente anda bien escasa.

Cada cosa a su debido tiempo, no se puede sacar algo que no está probado que va a funcionar, que luego pasan desgracias.

Todo por ir de modernos, es lo que pasa.
Esto se dijo en este y otros foros nada mas que se anuncio el invento, si es de cajon. a ver si acabamos ya con el buenismo de las narices, una persona sola en casa ajena tiene que luchar contra sus instintos, la mayoria lo consigue pero no todos
Este sistema es una mierda.
Basta ya de tanto postureo, hay cosas que la tecnologia nunca podra sustituir.
En la vida permitiré que un desconocido pueda abrir la puerta de mi casa.

Salu2 :cool:
¿En serio?, ¿depende de una conexión a Internet para el cerrojo?. Super chapuza.

mmiiqquueell escribió:AMAZON → Tonto, que eres tonto, del to, no pa un rato no, tonto del to, pa siempre!... [qmparto]

https://www.youtube.com/watch?v=YQqrIr202es
Ooooh, vaya, no me lo esperaaaaabaaaaaa =)

¡¡Pero no seáis anticuados y paranoicos, hombre, que esto es el futuro!! xDDD
Menudo LOLAZO de noticia.

Una práctica de muy dudosa seguridad (ni de coña dejo mis llaves de casa a nadie) y en menos de un mes les han metido un golazo en propia puerta.

Grande Bezos, muy grande [tadoramo]
No es tan facil hacer eso,hay que saber bastante, y no me refiero solo a nivel informatico/cracking, sino cuando y donde va a ir el repartidor. Eso es una prueba de concepto, que efectivamente se puede hacer si, pero sigue siendo un metodo seguro que bien usado no tiene por que ser peligroso.

Si alguien quiere entrar en tu casa lo va a hacer con un taladro en 30 segundos o esperandote a ti mismo a que entres en tu casa con una navaja en el cuello. Easy.

De buen rollo todo.
prefiero que se lo dejen al vecino XD
ElGuaperas está baneado por "clon de usuario baneado"
Los gitanos de mi zona ya están redactando curriculums para entrar en Amazon
En vez tanta tontería de drones y amazon key lo que deberían es invertir en crear una compañía de mensajería exclusiva de Amazon y dar un buen servicio.
Algunos decian que era seguro porque tenia una camara grabando :Ð
Inocentes... no se les habia ocurrido que el ladron podria ponerse una mascara, una careta, o un disfraz de cuerpo completo y yasta
Que la camara grabe todo lo que quiera, que mientras tanto goofy le pega un repasito a la casa [hallow]
@Sandungas La camara no graba al repartidor, para identificar al repartidor ya esta la propia llave, la camara es para saber que hace el repartidor dentro.

Saludos
Raugo escribió:@Sandungas La camara no graba al repartidor, para identificar al repartidor ya esta la propia llave, la camara es para saber que hace el repartidor dentro.

Saludos

Asi que la camara no graba al repartidor, y a continuacion dices que la camara es para saber que hace el repartidor dentro ?
-_-
Con fallo de seguridad o sin él, quién quiera dejar que un repartidor acceda a su piso ausente adelante. Cada cuál es libre de dejar que le roben como le de la gana [carcajad]
@Sandungas Si, la camara la lleva el repartidor por lo que no se ve su cara, se ve lo que hace.

Saludos
Raugo escribió:@Sandungas Si, la camara la lleva el repartidor por lo que no se ve su cara, se ve lo que hace.

Saludos

Pues yo en el video veo que la camara esta instalada dentro de casa, estatica grabando la puerta
Se puede ver la cara del repartidor y lo que hace

A no ser que el repartidor sea el hermano yonki del repartidor que le ha robado la "llave electronica" con un disfraz de cuerpo entero de winnie de pooh y la chuta colgando del brazo

En ese caso te da igual grabar en resolucion 4K... el responsable de la "llave electronica" no se le puede llevar a juicio porque no hay ninguna prueba real de que haya sido el
Lo que no entiendo es porque Amazon no deja poner "observacion al repartidor" o un horario preferido de reparto. No, mejor hagamos la cosa mas complicada posible porque somos "una empresa hiperguay y moderna osea". Hay que joderse
@Sandungas Porque solo muestran la cámara "problemática" según la noticia de la presentación el repartidor lleva una camara también para vigilar lo que hace, ademas la llave identifica al repartidor, puede que como tu dices la pueda usar otra persona pero muy rebuscado seria todo para simplemente evitar pegarle una patada a la puerta para robar.

Saludos
Vaya surpresa, tenia todo para dar cierto...







not.
Pero haber ..... le darías las llaves de tu casa a un completo desconocido solo porque viene de parte de una empresa?
Le darías las llaves de tu casa al batanero para que te deje la bombona dentro?

Pues esto es lo mismo...
Lo que no puede ser es que vendan un sistema de seguridad asi y que no venga en el pack un sistema de defensa. Es decir, todos aquellos que hayan tenido Kinect sabran que usa una cuadricula de vision reducida donde tu te tienes que mover y si te sales la camara no te detecta no? pues bien. Imaginaos que a la entrada de casa (dentro por supuesto) teneis 4 torres con 4 cargas de taser por (decir algo) y un "kinect" enfocado a la entrada que permite un metro cuadrado de movimiento y si te sales se envia un señal de emergencia a la policia y te enchufa 4 electrodos provocandote una inmovilizacion aparte de verlo por la cam del movil por supuesto. Todo este sistema formaria parte de un suministro de energía externo y sin control por red para no poder ser hackeado de ninguna forma si no es rompiendo el suministro de energia que estaria escondido. Yo pienso que de esta forma nos sentiriamos mas seguros con la pantomima que nos quiere vender amazon.
Haber entonces tan facil como quitar los fusibles y dejar sin luz las casas para poder entrar....

No ahora en serio. El amazon Key implica dejar la cerradura solo con "el resbalon", sin girar las vueltas de seguridad con la llave.
Por tanto cualquiera con una radiografía te puede abrir la puerta.
La estupidez humana es infinita
Llamadme raro, pero el pensar que alguien desconocido pueda entrar en mi casa sin estar yo para dejarle entrar no me inspira ninguna confianza.
que manera de complicar las cosas [facepalm]

No sería más fácil que den un servicio para poner un especie de buzón más grande donde puedan depositar el paquete?
ZACKO escribió:que manera de complicar las cosas [facepalm]

No sería más fácil que den un servicio para poner un especie de buzón más grande donde puedan depositar el paquete?


Eso ya existe, y estas en las mismas, si te pones en modo vikingo lo revientas con una maza y pista, igual que puedes hacer con los buzones tradicionales.

Si quieren entrar en una casa lo van a hacer, ahora bien, no se hasta que punto compensa todo este telar de la camarita si con una patada la echas abajo, el tema esta en entrar y delinquir sin ser visto y sin forzar la puerta, ese es el quiz.
Era de cajón, y seguirá pasando, al final seguramente lo tengan que terminar quitando...
No pasara mucho tiempo antes de que algun repartidor (autorizado por el dueño de la casa) entrara y algun inquilino que no se haya enterado del reparto escuchara ruido, sacara la pistola de debajo de la almohada y le pegara dos tiros. Supuestamente en EEUU es "legal" disparar a alguien que entra en tu casa sin consentimiento. Al tiempo....
con lo sencillo que es mandarse los paquetes a un punto de recogida... o al curro... o a casa de tu abuela (asi la visitas y comes comida casera XD)
o a las malas ir a recogerlo a las oficinas de la empresa de transporte...

no se, yo no veo claro dejarle las llaves de mi casa a nadie... que si quieren van a entrar.... pero mejor ponerlo un pelin mas dificil
73 respuestas
1, 2