Die Woche hatte ich im Blog-Beitrag Türschloss-Hack, oder Amazon is 'great again' über einen Hack des intelligenten Amazon Türschlosses für Home-Delivery berichtet. Jetzt sind Informationen bekannt geworden, wie Amazon mit der Meldung des Sicherheitsforschers umgegangen ist.
Anzeige
Darum geht es
Seit Oktober 2017 können US-Kunden des Versenders Amazon ein intelligentes Türsicherungssystem, bestehend aus einem intelligenten Türschloss und einer Sicherheitskamera unter dem Namen 'Amazon Key' erstehen. Kostet 250 US $ inklusive Installation und soll Amazon-Lieferanten den Zugang zum gesicherten Objekt ermöglichen. So können Waren ausgeliefert werden, ohne dass der Besitzer des Objekts zuhause ist.
In der Vergangenheit sind zwei Hacks bekannt geworden, die entweder die Sicherheitskamera blind werden (Blog-Beitrag Ausgetrickst: Amazons Kamera ausgetrickst) lassen oder das Schließen des Schlosses nach der Lieferung durch den Boten verhindern.
Sicherheitsforscher MG packt aus
Auf medium.com hat der Hacker, der wohl in Sicherheitsfragen als Analyst unterwegs ist, Details ausgeplaudert. Er störte sich nach der Veröffentlichung des Kamera-Hacks (Ausgetrickst: Amazons Kamera ausgetrickst) daran, wie Amazon das herunterspielte. Also begann er mit der Entwicklung eines Exploits, um das Schloss auszuhebeln. Ein Raspberry Pi genügte, um den Hack (siehe Türschloss-Hack, oder Amazon is 'great again') auszuführen.
Ein Sicherheitsforscher kontaktierte MG, und bot an, bezüglich der gefundenen Sicherheitslücken mit Amazon zu verhandeln. Leider ist dieser Versuch, nach dem Angaben von MG, gescheitert. Amazon lehnte das Angebot, die Informationen offen zu legen ab. Was dem Fass aber den Boden ausschlägt: Amazon verlangte einen funktionierenden PoC (Proof of Concept), erklärte aber im gleichen Atemzug, dass sie keine Belohnung oder ein Bugbounty-Programm haben.
Anzeige
MG ging es, nach seiner Aussage, nicht um eine Belohnung, war aber von der Amazon-Arroganz abgestoßen. Also schnappte er sich einen Raspberry Pi und begann den Hack des Amazon-Türschlosses zu entwickeln.
I call this the "Break & Enter dropbox" and it pairs well with my Amazon Key (smartlock & smartcam combo).
It's all current software. Amazon downplayed the last attack on this product because it needed an evil delivery driver to execute. This doesn't. pic.twitter.com/35krz46Kab
— MG (@_MG_) 4. Februar 2018
Nachdem er das Video gepostet hatte, wurde er vom Amazon-Sicherheitsteam kontaktiert. MG hat den Amazon-Leuten den Hack zu verstehen und äußert sich beeindruckt über das Security Response Team. Später fragten die Leute vom Team nach dem Code für den Hack, was im Zusammenhang mit der anfänglichen "lol we won't give you anything but do work for us" Interaktion mit Amazon etwas frustrierend war.
Sein Eindruck: Das Amazon Security-Team könnte noch viel mehr tun, wenn Amazon den Offenlegungsprozess besser strukturieren würde. Jedenfalls gab es einen halben Tag lang keinen Kontakt mit dem Security-Team. Gleichzeitig fing aber die PR-Abteilung von Amazon bereits an, den Hack als 'nicht relevant' herunter zu spielen. Das hat MG geändert, aber er hatte Amazon versprochen, dass er technische Details zurückhalten werde, bis sie einen Fix veröffentlicht haben. Einen Tag später gab es bei Forbes einen Artikel, wo auch die Amazon PR-Abteilung mit Erklärungen mit mischte. Im Anschluss daran hat MG seinen Hack offen gelegt. Bei Interesse könnt ihr das hier nachlesen.
Anzeige
Auch ganz nett – Amateur-Lieferanten von Amazon als Einbrecher (Quelle).