Amazon Key安全漏洞CVE-2017-16867 可以控制你家摄像头

10月左右,亚马逊推出了新产品Amazon Key,当你不在家的时候,快递员可以远程请求入室送货,但这个东西很快就被攻破了,成功利用此问题将允许攻击者执行未经授权的操作,入侵家中安防摄像头,这可能有助于发起进一步攻击。亚马逊正在修补这个漏洞。

amazon key是亚马逊公司推出的一个新系统。在亚马逊上可以购买一套电子锁跟监视器(250usd),亚马逊负责安装。这样快递员可以在家里没人时,发送请求入室放货物(获得临时密钥),同时家中安装的监视器会启动,并在云端记录影像。

知乎有 章鱼大丸子 朋友评价

确实方便很多啊,上班期间可以安排babysitter,dogwalker,或者清洁人员直接来家里,送货员也会开门送货,通过摄像头就可以实时监控。包括以后Airbnb,住户进门也不用特地去送钥匙或者设置复杂的找钥匙环节了,直接amazon key的密钥就可以解决。非常节省时间,和人力。也保障了快递的安全。

但是我想,一些相对保守的人最大的问题还是个人隐私保护这一方面。

最不希望看到的,还是自己家收拾的个人物品的东西找不到,不该扔掉的不小心被收拾掉了,以及存在的一些财务安全的问题。这些都是仅仅靠摄像头来保障的。存在很多的安全隐患。那亚马逊如何进一步说服更多客户关于安全这一块,就是重点了。
目前Amazon Key服务只限Prime Member之间推广,目前只在37个城市试行。而有密钥的人,也只限amazon 自己的送货员。

“亚马逊这次推出的Amazon Key,似乎是想要知道客户对于Amazon公司的信赖度。”

至于群众接受度如何,我想还是默默吃瓜分析就好。

Amazon Key安全漏洞CVE-2017-16867

SecurityFocus评价

亚马逊密钥容易出现安全弱点。成功利用此问题将允许攻击者执行未经授权的操作;这可能有助于发起进一步攻击。

Bugtraq ID: 101899
Class: Unknown
CVE: CVE-2017-16867
Remote: Yes
Local: No
Published: Nov 20 2017 12:00AM
Updated: Nov 21 2017 12:08AM
Credit: Rhino Security Labs.
Vulnerable: Amazon Key 0
 
Not Vulnerable:

发表评论