Amazon Key 是 Amazon 公司推出的送货服务,送货员可在相机监控的状况下打开消费者家门放入货物,用户需要配备可由送货员打开的智能门锁和链接云端服务器的相机 Cloud Cam。Amazon Key 推出不到一个月,安全性就遭质疑,骇客可控制相机拍摄的画面,在用户不知情下进入家中。
Amazon 的送货服务经常遇到送货员到达后用户不在家无法收货的问题,为此该公司开发了 Amazon Key 服务,用户家安装任意智能门锁后,送货员可使用特定指令打开用户家门。为了保证安全性,还需要在正面对着用户家门的地方安全监控相机,记录每次送货状况。
Amazon Key 推出不到一个月就被曝有安全漏洞。网络安全工程师已证明,连接用户家 Wi-Fi 后执行一个非常简单的程式,就可以控制监控相机拍摄的画面,使监控画面暂停,查看影片的用户能看到的只是关着的门,画面是静止的,即使有人打开门进入也不会被发现。
网络安全公司犀牛实验室创办人 Ben Caudill 认为,Amazon Key 服务的安全保障依赖监控相机,这是最关键的安全机制,但研究人员已证明这环节非常薄弱。犀牛实验室对 Amazon Key 的攻击非常简单,在任何电脑、行动装置向相机发送取消授权的命令就可完成。几乎所有连接 Wi-Fi 的装置都面临同样问题,向 Wi-Fi 路由器发送虚假命令让联网装置暂时下线,相机下线后远程查看的监控画面就处于静止状态。
Amazon 公司声明称,将推出相机自动更新程式,如果长期时间离线会通知用户。目前没有任何证据显示送货员在用户未允许下进入用户家中。每位送货员都经过 Amazon 背景审查,每次送货都有追踪程式跟进送货员行程,确保货物在预定时间送至指定地点。
Amazon 的背景审查显然无法解决所有的问题,比如送货员的资料被盗、追踪程式被攻击等,另外由于智能门锁没有连接网络,只是透过 Zigbee 无线协议与监控相机和其他网络通讯,当监控相机离线时,门锁也无法应对紧急状况。比如送货员放下货物后,门锁自动关上之前,骇客可向门锁发送离线命令,使门锁无法关闭,再控制监控相机就可进入用户家中。
Amazon 公司表示,送货员确保门锁关闭后才会离开,如果出现任何问题,Amazon 会立即联系用户处理。
Amazon Key 面临的最大威胁就是监控相机被骇离线的问题,用户可考虑多安装一个安全监控相机搭配 Amazon Key 使用,当然最好的办法就是不使用 Amazon Key 这种看起来方便但风险很大的送货服务。
Amazon Key 在 2017 年 11 月 8 日上线后,已向美国 37 个城市的 Prime 会员开放,在 Recode 网站调查中,超过 60% 被调查者表示不会选择 Amazon Key 服务,在 Prime 会员中,只有 5% 认可这服务。
- AMAZON KEY FLAW COULD LET ROGUE DELIVERYMEN DISABLE YOUR CAMERA
- Amazon Key
