{"id":200773,"date":"2018-02-10T01:58:48","date_gmt":"2018-02-10T00:58:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=200773"},"modified":"2024-10-04T20:43:04","modified_gmt":"2024-10-04T18:43:04","slug":"neues-zum-amazon-key-hack","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/02\/10\/neues-zum-amazon-key-hack\/","title":{"rendered":"Neues zum Amazon Key-Hack"},"content":{"rendered":"

Die Woche hatte ich im Blog-Beitrag T\u00fcrschloss-Hack, oder Amazon is 'great again'<\/a> \u00fcber einen Hack des intelligenten Amazon T\u00fcrschlosses f\u00fcr Home-Delivery berichtet. Jetzt sind Informationen bekannt geworden, wie Amazon mit der Meldung des Sicherheitsforschers umgegangen ist. <\/p>\n

<\/p>\n

Darum geht es <\/h2>\n

\"\"Seit Oktober 2017 k\u00f6nnen US-Kunden des Versenders Amazon ein intelligentes T\u00fcrsicherungssystem, bestehend aus einem intelligenten T\u00fcrschloss und einer Sicherheitskamera unter dem Namen 'Amazon Key' erstehen. Kostet 250 US $ inklusive Installation und soll Amazon-Lieferanten den Zugang zum gesicherten Objekt erm\u00f6glichen. So k\u00f6nnen Waren ausgeliefert werden, ohne dass der Besitzer des Objekts zuhause ist.<\/p>\n

In der Vergangenheit sind zwei Hacks bekannt geworden, die entweder die Sicherheitskamera blind werden (Blog-Beitrag Ausgetrickst: Amazons Kamera ausgetrickst) lassen oder das Schlie\u00dfen des Schlosses nach der Lieferung durch den Boten verhindern. <\/p>\n

Sicherheitsforscher MG packt aus<\/h2>\n

Auf medium.com<\/a> hat der Hacker, der wohl in Sicherheitsfragen als Analyst unterwegs ist, Details ausgeplaudert. Er st\u00f6rte sich nach der Ver\u00f6ffentlichung des Kamera-Hacks (Ausgetrickst: Amazons Kamera ausgetrickst) daran, wie Amazon das herunterspielte. Also begann er mit der Entwicklung eines Exploits, um das Schloss auszuhebeln. Ein Raspberry Pi gen\u00fcgte, um den Hack (siehe T\u00fcrschloss-Hack, oder Amazon is 'great again'<\/a>) auszuf\u00fchren. <\/p>\n

Ein Sicherheitsforscher kontaktierte MG, und bot an, bez\u00fcglich der gefundenen Sicherheitsl\u00fccken mit Amazon zu verhandeln. Leider ist dieser Versuch, nach dem Angaben von MG, gescheitert. Amazon lehnte das Angebot, die Informationen offen zu legen ab. Was dem Fass aber den Boden ausschl\u00e4gt: Amazon verlangte einen funktionierenden PoC (Proof of Concept), erkl\u00e4rte aber im gleichen Atemzug, dass sie keine Belohnung oder ein Bugbounty-Programm haben. <\/p>\n

MG ging es, nach seiner Aussage, nicht um eine Belohnung, war aber von der Amazon-Arroganz abgesto\u00dfen. Also schnappte er sich einen Raspberry Pi und begann den Hack des Amazon-T\u00fcrschlosses zu entwickeln. <\/p>\n

\n

I call this the \"Break & Enter dropbox\" and it pairs well with my Amazon Key (smartlock & smartcam combo). <\/p>\n

It's all current software. Amazon downplayed the last attack on this product because it needed an evil delivery driver to execute. This doesn't. pic.twitter.com\/35krz46Kab<\/a><\/p>\n

\u2014 MG (@_MG_) 4. Februar 2018<\/a><\/p><\/blockquote>\n