La pessima (o geniale) idea di Amazon Key (dipende dai punti di vista) è diventata (a nostro avviso) persino peggiore grazie al lavoro dei ricercatori di Rhino Security Labs, società di sicurezza con base a Seattle che a pochi giorni dal lancio ufficiale del servizio (8 novembre) ha già scovato la prima, gravissima vulnerabilità in quello che il colosso dell’e-commerce ha presentato come un sistema sicuro e affidabile per le consegne a domicilio in assenza del cliente.
La falla è di quelle “sistemiche”, visto che prende di mira la videocamera Cloud Cam indispensabile per il buon funzionamento dell’intero sistema: il corriere incaricato arriva all’uscio di casa, sblocca la serratura elettronica grazie al codice di autorizzazione ed entra in casa per lasciare il pacco. Nel mentre, Cloud Cam permette all’utente di seguire l’intera operazione tramite una connessione a Internet.
Stando a quanto hanno scoperto i ricercatori, Cloud Cam (il vero “cuore” di Amazon Key) può essere compromessa con un attacco DoS fatto partire da un qualsiasi portatile in prossimità della sua connessione WiFi: l’attacco manda in crash la videocamera, il feed video si blocca all’ultimo frame visualizzato e quel che è peggio la serratura elettronica (Amazon Key) viene sbloccata automaticamente .
La falla di Cloud Cam si presta ad un abuso non triviale ma non impossibile, visto che un corriere disonesto potrebbe entrare una prima volta per posare il pacco, attaccare la videocamera mandandola in crash e quindi rientrare in casa con l’intento di raccogliere un po’ di “refurtiva” ai danni del cliente.
L’attacco potrebbe magari essere condotto con l’aiuto di un complice, e dal punto di vista dell’utente finale rappresenta la conferma del fatto che lasciare la porta aperta a uno sconosciuto – ancorché incaricato da Amazon – è un’idea a dir poco balzana.
Dal punto di vista di Amazon, invece, Amazon Key è un servizio che funziona bene così com’è e al massimo richiede qualche aggiustamento qui e lì: la corporation dice di aver implementato una notifica per il cliente nel caso in cui la Cloud Cam risultasse off-line per un periodo di tempo esteso, mentre per la fine della settimana è atteso un update al sistema pensato per fornire le notifiche del caso qualora la videocamera finisse off-line durante una consegna .
Alfonso Maruccia