Amazon Key no es seguro: pueden entrar a tu casa sin que se grabe

Amazon Key es un servicio que Amazon anunció a finales del pasado mes de octubre. Con él, un repartidor puede desbloquear nuestra puerta de casa gracias a la cerradura inteligente para dejar un paquete en el caso de que estemos ausentes, siendo todo esto grabado por una cámara. Ahora, unos investigadores han descubierto un grave fallo en este sistema que permite entrar a casa sin que lo sepamos.

Amazon Key: se puede apagar la cámara que graba a quien entra a nuestra casa

Rhino Security Labs ha puesto a prueba la seguridad del sistema Amazon Key, y los resultados no han sido muy satisfactorios, ya que han encontrado una vulnerabilidad que permitiría al repartidor o a un hacker entrar en tu casa sin ser detectados una vez se haya entregado un paquete.

El sistema de Amazon ha sido diseñado con la máxima seguridad: sólo pueden desbloquear la cerradura en una determinada hora y si han llamado antes al timbre. Además, una vez entregan el paquete, tienen como obligación bloquear la puerta al salir. Además, se registra qué repartidor hace cada reparto, y de momento sólo son empleados de Amazon (nada de empresas de mensajería de terceros)

Sin embargo, Rhino Labs descubrió que un repartidor con un programa malicioso instalado en su portátil puede lanzar un comando falso emulando al router WiFi para que desconecta la Cloud Cam de la red. Así, la cámara deja de funcionar y se para en el último fotograma que había grabado. En este instante, el repartidor podría volver a entrar a la casa y hacer lo que quisiera sin ser visto para posteriormente reactivar la cámara y bloquear la puerta como si nada.

Amazon de momento no ha parcheado la vulnerabilidad

Además del repartidor, esto podría hacerse también por otra persona (aunque es más improbable). En primer lugar, el supuesto hacker debería conocer a qué hora se va a realizar el reparto para estar cerca de la casa. En segundo lugar, tendrían que hacerlo antes de que el repartidor bloqueara la puerta.

Ante esto, Amazon ha respondido que han informado a sus clientes de que tengan cuidado por si la cámara se mantiene offline durante mucho tiempo. La única actualización que van a lanzar por ahora se realizará la semana que viene para mejorar las notificaciones si la cámara se apaga, pero esto no impide el hackeo ni lo arregla. La única manera de arreglar este fallo sería que la cámara almacenara el vídeo de manera local, y no como hasta ahora que lo hace a través de Internet.

Muchos usuarios han mostrado su inquietud ante este sistema, que por algo más de 200 dólares, supone que un desconocido pueda entrar en nuestra casa para algo tan simple como es dejar un paquete. De momento, seguirá siendo mucho más seguro que nos dejen una nota, concertar otra hora de recogida, o ir nosotros a por el paquete.

Fuente: Ars Technica | adslzone