Amazon Key ist die Smarthome Zukunft für Amazon-Prime-Kunden, die Bestellungen regelmäßig nicht persönlich annehmen können oder möchten – so stellt sich Amazon das jedenfalls vor.

Das Unternehmen hat sich einiges ausgedacht bei dieser Innovation. Um diesen Service nutzen zu können, müssen Amazon-Kunden zunächst ein sogenanntes Smart-Home-Paket kaufen. Es enthält ein smartes Türschloss, eine vernetzte Kamera genannt Cloud-Cam und die dazugehörige App. Die Cloud-Cam muss gegenüber der Haustüre installiert werden und dient als Überwachungskamera und Zutrittskontrolle. Natürlich muss die Tür dann damit gekoppelt sein, damit sie sich elektronisch öffnen lässt. Die Amazon-Kuriere müssen sich via die Cloud Cam authentifizieren. Dies ist nur möglich zu einem bestimmten vorab vereinbarten Zeitpunkt, durch den zugewiesenen Kurier und an dem genau genannten Lieferort. Die Cloud Cam zeichnet den gesamten Vorgang auf. Der Kunde wird via App benachrichtigt und kann alles mitverfolgen. Der Kurier muss nur noch die Türe zuziehen nach Ablage der Lieferung.

Amazon ging davon aus, ihr System sei ziemlich sicher. Das Unternehmen hat mit diesem Dienst schließlich noch viel vor wie die Anwendung in anderen Dienstleistungsbereichen, darunter dem Hausreinigungsservice Merry Maids und Rover, dem Gassi-Geh-Service für Hundebesitzer. Amazon ist der Ansicht, dass im Falle eines Missbrauchs des Systems, die Hauptlast auf dem jeweiligen Kurier liegen würde. Außerdem müsste er sich abschließend ja noch irgendwie unbemerkt aus dem Haus schleichen, was schwer vorstellbar sei für Amazon. Alle Amazon-Kuriere würden zudem tiefgründige Sicherheitschecks durchlaufen müssen. Falls doch mal was schiefläuft, springt die Amazon Key Happiness Garantie für die Kunden ein.

Bis jetzt hat all das die amerikanischen Verbraucher und einige Rechtsanwälte noch nicht überzeugt. Das Sicherheitsforschungsunternehmen Rhino Security Labs hat die Cloud Cam kürzlich näher unter die Lupe genommen und tatsächlich eine Sicherheitslücke in den Sicherheitsverfahren von Amazon Key gefunden. Demnach kann entweder der Kurier selbst oder ein versierter und böswilliger Dritter, der das Ganze beobachtet, nach der Zustellung unbemerkt ins Haus eindringen. Das sei laut Rhino Security nicht einmal so schwierig. Es genüge ein einfaches Programm im WLAN-Bereich von Amazon Key, um die Sicherheit zu umgehen. Nicht nur könnte die hochwichtige Kamera deaktiviert werden, sondern das letzte, entscheidende Bild der geschlossenen Türe, auch einfrieren. Der Kunde würde im Livestream eine ordnungsgemäß verschlossene Türe sehen, während der Kurier sich im Haus umschaut oder dort bedient.

Rhino Security stellt sich das Szenario so vor: Normalerweise würde der Kurier abschließend die Haustüre mit ihrer App abschließen. Bei diesem Angriffszenario würden sie jedoch ein Programm auf einem mitgebrachen Laptop oder einem einfacheren mobilen Gerät ausführen. Das ließe sich wohl sogar mit einem Raspberry-Pi-Minicomputer und einer Antenne bewerkstelligen. Dabei würden eine paar Deauthentication Befehle an die Cloud-Cam geschickt. Diese Deauth-Befehle würden die Cloud Cam kurz einfrieren und dann wieder mit dem WLAN verbinden und der Eindringling könnte die „Türe schließen“-Taste in der App drücken. Nach außen hin würde alles völlig normal erscheinen und das Amazon-System würde ebenfalls nichts Ungewöhnliches bemerken und eine Warnung versenden.

Rhinos Forscher weisen auch darauf hin, dass, wenn ein solcher Angriff eine Cloud Cam kurzfristig aus dem Netzwerk stößt, es gleichzeitig auch die Amazon Key-Sperre an der Tür aufhebt. Das liegt daran, dass das Schloss selbst keine eigene Internetverbindung hat, sondern über das Zigbee-Funkprotokoll mit der Cloud Cam kommuniziert, die als Verbindung zum WLAN -Router fungiert.

Nachdem Amazon von dieser Schwachstelle Wind bekam, versprach das Unternehmen, die Funktionsweise von Amazon Key zu ändern. Ihr Ziel sei es, leichter erkennen können, wenn bei Lieferungen etwas Ungewöhnliches passiert und die Kunden noch schneller zu informieren. Die von Amazon vorgeschlagenen Änderungen lösen die Sicherheitsanfälligkeit jedoch nicht unbedingt, sagen die Sicherheitsforscher. Sie fordern eher eine Video Cache, die weiter aufzeichnet was am Lieferort passiert. Verhindert werden kann ein Diebstahl dann allerdings auch nicht. 

Artikel von wired.com, 16.11.2017: Amazon Key Flaw Could Let Rogue Deliverymen Disable Your Camera
Artikel von arstechnica.com, 16.11.2017: Amazon Key flaw makes entering your home undetected a possibility

Urheberrecht Beitragsbild: shutterstock.com