Un fallo de Amazon permite a desconocidos entrar en casas de clientes
Amazon Key es uno de los nuevos servicios del portal online en el que el repartidor puede entrar en casa. Ahora, se ha descubierto una vulnerabilidad.
16 noviembre, 2017 20:30Noticias relacionadas
Se ha descubierto una vulnerabilidad muy grabe en el sistema de seguridad de Amazon Key.
Amazon recientemente ha estrenado Amazon Key, un servicio con el que el repartidor puede entrar en la casa de los clientes (con su permiso, obviamente) a dejar la compra ¿Te imagina pedir comestibles por Amazon y que el repartidos te los deje en la despensa o en la nevera? Es lo más revolucionario que hay ahora mismo en cuanto a repartos, pues ni siquiera es necesario que estemos presentes.
Es decir, que no valen las típicas excusas de muchos repartidores tipo “no había nadie en casa”. Además, tampoco tendremos que estar dejando cosas durante una franja de cuatro horas, que es la que suelen dar los mensajes como tiempo en el que deben estar en el domicilio para recibir el paquete, carta, o lo que sea.
Y no es ninguna locura, pues la compañía lo tiene todo pensado: en la puerta de nuestra casa instalaremos una cerradura especial (que ellos se encargarán de vender, por supuesto), y además colocaremos cámaras IP (controladas remotamente) por toda la casa. Así, gracias a la cerradura los repartidores de Amazon pueden entrar a tu casa y dejar lo que sea, y tú podrás controlarlo todo desde las cámaras por control remoto. Además, se te notificará cada vez que alguien entre en tu casa.
La idea en general es muy buena; al menos para quien le atraiga, pues seguro que muchos se mostrarán reticientes a ella. Y es que, obviamente, no podemos confiar de forma ciega en la persona que reparte, pero para eso mismo están las cámaras.
No obstante, Amazon se ha encontrado con un contratiempo inesperado que puede hacer retroceder brutalmente el crecimiento de este nuevo servicio. En concreto, hablamos de que, con los conocimientos suficientes, el repartidor será capaz de volver a entrar en casa, después de ya haber entrado, sin que quede registrado.
Un repartidor podría entrar sin quedar registrado
Tendría que ser un caso muy concreto y poco probable, pero la posibilidad existe, que es lo importante. Lo que ocurre, exactamente, es que, estando conectado a la misma red Wi-Fi de la puerta, se puede desactivar de forma momentánea la seguridad, de modo que, si algún repartidor abre la puerta con el permiso otorgado por el usuario, no se le notificará como tal.
Es decir, que la puerta se podrá abrir pero no quedará registrado como si eso hubiera ocurrido. Para el cliente, es como si en ningún momento se hubiera llegado a abrir. Sin embargo, como decimos, para ello tendríamos que poder acceder a la señal Wi-Fi (que, obviamente, ha de estar protegida, pues estamos otorgándole, casi, la seguridad de nuestra casa), además de contar con el software necesario para poder activar la vulnerabilidad.
Aún así, podríamos pensar que queda todo registrado en las cámaras, pero no es del todo cierto, pues se puede congelar la imagen. Ben Caudill, fundador de Rhino Security Labs, la compañía que ha descubierto la vulnerabilidad, ha demostrado cómo funciona en un vídeo (el superior). Como vemos, si se tienen los conocimientos, es un ataque relativamente sencillo y fácil de realizar.
En el vídeo, a la izquierda tendremos al consola de comandos desde donde se ha ejecutado el exploit; en el centro, la cámara de seguridad; y, a la derecha, la aplicación móvil. Como comprobaremos, la primera vez que entre, para demostrar que está todo correcto, se quedará grabado. Pero, la segunda, después de ejecutar unos comandos concretos, la cámara no grabará nada, así como tampoco se registrará ningún movimiento en la puerta.
Amazon lo corregirá esta misma semana
Amazon ha calmado los humos y ha explicado que sus repartidores pasan por un control muy exhaustivo para llegar hasta el puesto de trabajo que ejercen. Se analiza a la persona, sus antecedentes, además de que también se hace una comprobación en vivo para saber si el repartidor está en la ubicación correcta y en el momento correcto.
Añaden, además, que se lanzará una actualización antes de que acabe la semana en la que se le notificará al cliente si la cámara pasa mucho tiempo desactivada. Además, se implementará un paso extra en la verificación: si la cámara no está funcionando o no está conectada, no se podrá abrir la puerta.