giovedì 23 novembre 2017

Subito craccate le chiavi digitali di casa di Amazon

https://www.zeusnews.it

Pensarci prima no?

Non c'è voluto molto per identificare la prima falla in Amazon Key, il servizio che consente al corriere di consegnare in casa i prodotti acquistati su Amazon anche quando siamo assenti.
Amazon Key funziona grazie a un'app, una serratura elettronica, una telecamera (Cloud Cam) e una connessione Wi-Fi a Internet.

Al momento della consegna, il corriere invia una richiesta tramite app e, se l'identità viene confermata, la serratura si sblocca, permettendo così di lasciare il pacco all'interno dell'abitazione.
Poi, prima di andarsene, il corriere usa nuovamente l'app per chiudere a chiave la porta. L'intera operazione viene ripresa dalla telecamera e il padrone di casa può vedere in diretta quanto sta avvenendo oppure può guardare la registrazione in un secondo tempo.
In teoria, il sistema è a prova di violazione. In pratica nella Cloud Cam c'è una falla, scoperta dai ricercatori di Rhino Labs, e tale falla permette di mettere offline la telecamera.
Nel video realizzato da Rhino Labs per dimostrare come si possa eseguire un attacco sfruttando questa vulnerabilità (e che riportiamo in coda all'articolo), il corriere apre la porta, lascia il pacco e richiude la porta, ma non la blocca tramite l'app.

 
Invece esegue un programma (su un laptop o anche un dispositivo più piccolo, come un minicomputer Raspberry Pi) che invia alcuni comandi alla Cloud Cam, mettendola offline.
In pratica conduce quello che viene Wi-Fi chiamato deauthentication attack, che in sé non è una debolezza specifica dei prodotti Amazon Key ma riguarda tutte le reti Wi-Fi.

Uno script come quello realizzato da Rhino (che finge di essere un comando inviato dal router usando tecniche di spoofing) può essere usato per togliere dalla rete un dispositivo collegato in Wi-Fi, e tenercelo finché lo script è in funzione.
Il problema, nel caso della Cloud Cam, sta nel fatto che l'utente non ha modo di accorgersi di quando sta avvenendo perché, in risposta all'attacco, la telecamera - anziché mostrare una schermata vuota o qualcosa del genere - continua a mostrare l'ultima immagine che ha ripreso, ossia la porta chiusa.
A questo punto un corriere disonesto può rientrare in casa, ripulirla e andarsene questa volta chiudendo davvero a chiave la porta, senza che ci siano prove del misfatto.
È chiaro che un furto realizzato in queste condizioni pone la persone che ha effettuato la consegna in cima alla lista dei sospettati, e anche che occorrono conoscenze tecniche per condurre l'attacco, ma in ogni caso il rischio è reale.
Informata del problema, Amazon ha promesso che presto rilascerà prossimamente un aggiornamento del firwmare della Cloud Cam, mentre già ora ha attivato un sistema di avvisi che allerta gli utenti se la telecamera resta offline troppo a lungo.

A volte viene proprio da chiedersi se per caso, nelle grandi società informatiche, c'è qualcuno che ha ancora un neurone funzionante o se stanno andando avanti tutti a furia di deliri di onnipotenza e incapacità di fermarsi e dire "Un momento, siamo proprio sicuri di voler fare questa cosa?".

Prendete Amazon, per esempio: ha partorito l'idea che gli utenti diano ai suoi fattorini il permesso di entrare in casa per le consegne, installando una serratura elettronica, chiamata Amazon Key, che il fattorino di Amazon sbloccherebbe con un'apposita app sullo smartphone se l'utente non è nell'abitazione.
Per evitare abusi, ha pensato bene Amazon, una webcam sorveglierebbe la porta d'ingresso per registrare eventuali comportamenti scorretti dei fattorini. Ma non c'è voluto molto per trovare una falla molto semplice in quest'idea straordinariamente infelice: dato che la webcam è collegata via Wi-Fi, basta sovraccaricare la rete Wi-Fi di appositi segnali (pacchetti di deauthorization) per scollegare la webcam dalla rete e intercettare il comando di richiusura della serratura, che quindi rimane sbloccata.
  In questo modo l'utente riceve dalla webcam solo l'ultima immagine fissa trasmessa prima del blocco e non può vedere cosa fa il fattorino, che può rientrare in casa, non visto, dopo aver effettuato la consegna ed essersene apparentemente andato via senza far nulla.

È stato pubblicato un video dimostrativo che spiega in dettaglio la vulnerabilità e Amazon ha diffuso un aggiornamento di sicurezza automatico che avvisa i clienti se si verificano attività sospette.
L'azienda ha anche obiettato che questa tecnica farebbe cadere immediatamente i sospetti sul fattorino, che sarebbe rintracciabile e quindi non avrebbe nessuna convenienza ad abusare del sistema. Ma gli esperti hanno notato che una terza persona, un criminale informatico in agguato, potrebbe approfittare della visita del fattorino, bloccare la serratura elettronica in posizione aperta e poi far cadere la colpa di un furto sul povero fattorino innocente. Uno scenario non facile, certo, ma non impossibile.
Ci sono poi altre considerazioni: per esempio, che succede se in casa c'è un animale domestico che scappa (o attacca il fattorino)? O se la casa è dotata di allarme antifurto? Forse pensarci prima sarebbe stato un risparmio di tempo per tutti.

Leggi l'articolo originale su ZEUS News - https://www.zeusnews.it/n.php?c=25908&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+ZeusNews+%28Zeus+News%29

Nessun commento:

Posta un commento