《消费者报告》(Consumer Reports)本周揭露,他们发现两款不同品牌但看起来一样的智慧门铃含有严重安全漏洞,允许骇客自远端存取门铃所拍摄的影片或照片。追踪后发现,它们皆来自于总部位于中国的制造商Eken,且Eken总计推出10种不同品牌的智慧门铃,全都使用同样的行动程式Aiwit,还在Amazon、Walmart及Sears等电子商务网站上销售。这使得《消费者报告》发动连署,要求美国联邦交易委员会(FTC)即刻阻止相关产品的销售。
此一发现始于《消费者报告》的安全测试工程师Steve Blair与David Della Rocca的定期评估活动,他们在Eken和Tuck两款智慧门铃上发现了安全漏洞,不仅如此,这两款不同品牌的智慧门铃在外型与包装上也都一样,且可透过同样的Aiwit行动程式控制。
Blair与Rocca所发现的安全漏洞包括门铃在未加密的状况下,直接曝露家庭IP位址与Wi-Fi网路名称,意谓著骇客只要下载Aiwit程式并建立帐户,再前往目标的住处,按下门铃按钮将手机与门铃配对,即可将门铃连至一个Wi-Fi热点并接管它。接管目标对象的门铃之后就可自远端查看智慧门铃的录像,也可检视装置的序号。
尽管原本的用户在门铃重新与手机配对时会收到邮件通知,有机会重新取回门铃的控制权,但取得了门铃序号的骇客则可继续自远端存取影片中的静态图像,也不会触发任何通知。
此外,工程师还发现,有10种不同品牌的智慧门铃都使用Aiwit程式来控制,再购买其中两款以Fishbot和Rakeblue为品牌名称的门铃之后,显示它们不仅外观类似,也都具备同样的漏洞。
图片来源/Consumer Reports
而不管是Aiwit或这10个品牌,似乎都是由总部设于中国深圳的Eken所生产。
这些可能来自于同一制造商,却采用不同品牌的智慧门铃透过Amazon、Walmart、Sears、Shein与Temu等电子商务网站销售,且Amazon销售其中的6种品牌。Eken在Amazon上设立了商城,所提供的数十款智慧门铃售价都在40美元以下。
《消费者报告》已分别通知Eken及Amazon,却都未得到回应,因而发动连署,号召消费者共同呼吁FTC将其下架。