Amazon Akıllı Kilit Uygulamasından Kötü Haber!

Amazon.com geçtiğimiz ay, evde olmayan kullanıcıların siparişlerini teslim edebilmek için Key Service adı verilen bir uygulama başlattı.
Kapı girişine konumlandırılan ve Cloud Cam adı verilen internet erişimli bir kamera, Amazon teslimatlarını kaydetmek üzere tasarlandı.

Fakat güvenlik araştırmacıları, Wi-Fi ağa bağlı herhangi bir bilgisayardan çalıştırılan basit bir programla bu kameranın dondurulabileceğini gösterdi. Güvenlik kamerası devre dışı bırakılmasa da görüntü belirli bir süre dondurulabiliyor ve etkinliklerin izlenmemesi sağlanıyor. Görüntüleri canlı veya kayıttan izleyen bir kullanıcı, eve biri girse bile sadece kapalı bir kapıyı görüyor. 

Araştırmayı yapan Seattle merkezli güvenlik şirketi Rhino Security Labs'ın kurucusu Ben Caudill, kritik öneme sahip yerlerin güvenliğini sağlarken çok dikkatli olunması konusunda uyarılarda bulunuyor. Amazon’un güvenlik çözümü olarak sunduğu servisi daha büyük bir güvenlik açığına neden oluyor.




Yukarıdaki videoda bir teslimat görevlisinin Amazon Key uygulamasıyla kapıyı açtığı ve bir paketi bıraktıktan sonra evden çıktığı görülüyor. Rhino araştırmacıları saldırıda dizüstü bilgisayarlardan bir program çalıştırıyorlar ve kameraya bir dizi "yetkilendirme" komutu gönderiyorlar.

Deauth olarak adlandırılan teknik ile komut dosyası çalıştığı sürece güvenlik kamerasına, çevrimdışı tutmak için tekrar tekrar komut gönderiliyor. İşin en rahatsız edici olanı, kamera çevrimdışı gibi görünerek saldırıya tepki vermiyor. Bunun yerine, kameranın bağlandığı sırada gördüğü son kareyi göstermeye devam ediyor.

Amazon konuyla ilgili önümüzdeki hafta bir yazılım güncellemesinin yayınlanacağını açıkladı.