楼主:
kivan00 (Kivan)
2017-01-09 11:34:561.媒体来源: ithome
2.完整新闻标题: 路由器、网络摄影机安全性不足,友讯遭美国政府告上法院
3.完整新闻内文:
美国贸易委员会(FTC)周三控告路由器大厂友讯(D-Link)生产的无线路由器及IP摄影
机安全防护不足可能遭骇,导致美国消费者资讯隐私受到侵害。
FTC向加州北区法院提出告诉,表示友讯未采取合理的安全性措施来确保其路由器及连网
摄影机,使消费者的敏感资讯,包括摄影机录制的影音讯息可能遭骇客取得。
根据FTC的起诉文件,友讯网站上虽然以标题为“轻松防护(Easy to Secure)”及“进
阶网络安全性(Advanced Network Security)”的行销文件标榜其路由器的产品安全性
,但该公司的产品却有种种常见且防护也不难的安全瑕疵。
像是友讯相机软件整合写死(hard-coded)的登入验证资讯,可能导致未授权存取。指令
注入(command injection)软件漏洞让远端攻击者可传送未授权指令而取得路由器控制
权; D-Link软件的登入私有金钥码处置不当,像是暴露于公开网站上长达6个月;以及用
户登入验证资料明明有免费防护软件而不用,却使其以可读取的明码形式留存行动装置的
app上。
FTC表示,这些弱点骇客用很简单的方法就能入侵,像是经由有漏洞的路由器取得消费者
退税资料或装置上的其他档案,再将消费者导向诈欺网站,或是透过该路由器攻击同一区
域上的其他上装置,如手机、IP摄影机或连网装置等。或利用问题相机监看消费者动向藉
机窃取或犯案,或是录下其个人活动及交谈内容。
FTC表示,本案是美国政府在物联网(IoT)时代加强消费者隐私及安全保护行为的一环。
FTC消费者防护局主任Jessica Rich指出,家用路由器及IP摄影机愈来愈常成为骇客攻击
目标,导致消费者敏感个人资讯被取得及外泄,当厂商告诉消费者他们的设备是安全时,
就必须采取必要措施确保这些宣称的真实性。
不过友讯透过公开声明否认上述指控,“我们向来将产品安全性以及顾客隐私资料的防护
列为首要任务。”该公司并表示准备提出抗告。
因应物联网(IoT)产品的普及及伴随而来的安全风险,FTC曾在2015年对IoT产品业者颁
布安全指导原则。FTC也在2014年及2016年初分别对TRENDNet及华硕提出类似告诉,两家
公司后来相继和FTC达成和解,其中华硕以改善产品及接受20年稽核换取和解。
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/110963