《消費者報告》(Consumer Reports)本周揭露,他們發現兩款不同品牌但看起來一樣的智慧門鈴含有嚴重安全漏洞,允許駭客自遠端存取門鈴所拍攝的影片或照片。
追蹤後發現,它們皆來自於總部位於中國的製造商Eken,且Eken總計推出10種不同品牌的智慧門鈴,全都使用同樣的行動程式Aiwit,還在Amazon、Walmart及Sears等電子商務網站上銷售。這使得《消費者報告》發動連署,要求美國聯邦交易委員會(FTC)即刻阻止相關產品的銷售。
此一發現始於《消費者報告》的安全測試工程師Steve Blair與David Della Rocca的定期評估活動,他們在Eken和Tuck兩款智慧門鈴上發現了安全漏洞,不僅如此,這兩款不同品牌的智慧門鈴在外型與包裝上也都一樣,且可透過同樣的Aiwit行動程式控制。
Blair與Rocca所發現的安全漏洞包括門鈴在未加密的狀況下,直接曝露家庭IP位址與Wi-Fi網路名稱,意謂著駭客只要下載Aiwit程式並建立帳戶,再前往目標的住處,按下門鈴按鈕將手機與門鈴配對,即可將門鈴連至一個Wi-Fi熱點並接管它。接管目標對象的門鈴之後就可自遠端查看智慧門鈴的錄像,也可檢視裝置的序號。
儘管原本的用戶在門鈴重新與手機配對時會收到郵件通知,有機會重新取回門鈴的控制權,但取得了門鈴序號的駭客則可繼續自遠端存取影片中的靜態圖像,也不會觸發任何通知。
此外,工程師還發現,有10種不同品牌的智慧門鈴都使用Aiwit程式來控制,再購買其中兩款以Fishbot和Rakeblue為品牌名稱的門鈴之後,顯示它們不僅外觀類似,也都具備同樣的漏洞。
圖片來源/Consumer Reports
而不管是Aiwit或這10個品牌,似乎都是由總部設於中國深圳的Eken所生產。
這些可能來自於同一製造商,卻採用不同品牌的智慧門鈴透過Amazon、Walmart、Sears、Shein與Temu等電子商務網站銷售,且Amazon銷售其中的6種品牌。Eken在Amazon上設立了商城,所提供的數十款智慧門鈴售價都在40美元以下。
《消費者報告》已分別通知Eken及Amazon,卻都未得到回應,因而發動連署,號召消費者共同呼籲FTC將其下架。