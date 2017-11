Das erst kürzlich vorgestellte smarte Türschloss-System von Amazon hat eine Sicherheitslücke, beschreiben IT-Forscher im Tech-Magazin "Wired". Amazon Key soll es laut der Produktvorstellung des Herstellers möglich machen, dass sich Putzhilfen, Handwerker, Hundesitter und natürlich Paketboten selbst in ein Haus oder eine Wohnung reinlassen, wenn der Besitzer nicht daheim ist.

Sicherheitsbedenken versuchte Amazon unter anderem mit dem Verweis auf eine ins System eingebaute Videoüberwachung zu zerstreuen: Für 250 Dollar liegt dem Amazon-Key-Paket eine Sicherheitskamera bei, die automatisch zu filmen beginnt, wenn die Tür aufgeht. Kunden können sich die Ankunft des Paketboten dann live oder zeitversetzt ansehen.

Doch Mitarbeiter des Rhino Security Labs demonstrierten der "Wired" nun, wie leicht sich diese Kamera manipulieren lässt: Den IT-Forschern gelang es nicht nur, die Kamera auszuschalten. Sie konnten sie auch so manipulieren, dass die Kamera weiter das eingefrorene Bild der geschlossenen Haustür zeigte, während die Tür gerade geöffnet wurde. Der Kunde würde sich in einem solchen Szenario in falscher Sicherheit wähnen. Voraussetzung für einen erfolgreichen Angriff war es, dass der Angreifer sich im Radius des Haus-WLANs befindet.

Das Schloss selbst konnten die Angreifer nicht knacken

Ein mögliches Szenario wäre, dass Zutrittsberechtigte die Türe öffnen, aber dank der Kamera-Manipulation unbemerkt Gegenstände aus dem Haus stehlen. Der Kreis der Verdächtigen wäre hierbei allerdings von vornherein klein.

Sollten andere Kriminelle versuchen, mit dem demonstrierten Angriff das Amazon-Key-System auszutricksen, stehen sie immer noch vor dem Problem, dass sie zwar die Kamera manipulieren können - nicht aber das Türschloss an sich. Sie stünden also weiter vor einer verschlossenen Türe.

Doch aus Sicht der Forscher ist die Kamera zur Überwachung der Tür ein zentrales Element in Amazons Sicherheitssystem. Falle sie aus, sei die Sicherheit der ganzen Vorrichtung infrage gestellt.

Für den Angriff nutzten die IT-Forscher laut eigenen Angaben eine Sicherheitslücke, die theoretisch nahezu alle internetfähigen Geräte und Smart-Home-Systeme betrifft. Es handelt sich demnach nicht um einen spezifischen Fehler der Cloud Cam von Amazon. Auf Anfrage der "Wired" versprach Amazon, bis Ende der Woche ein Update zur Verfügung zu stellen, das die Sicherheitslücke stopfen soll.