美國貿易委員會(FTC)周三控告路由器大廠友訊(D-Link)生產的無線路由器及IP攝影機安全防護不足可能遭駭,導致美國消費者資訊隱私受到侵害。
FTC向加州北區法院提出告訴,表示友訊未採取合理的安全性措施來確保其路由器及連網攝影機,使消費者的敏感資訊,包括攝影機錄製的影音訊息可能遭駭客取得。
根據FTC的起訴文件,友訊網站上雖然以標題為「輕鬆防護(Easy to Secure)」及「進階網路安全性(Advanced Network Security)」的行銷文件標榜其路由器的產品安全性,但該公司的產品卻有種種常見且防護也不難的安全瑕疵。
像是友訊相機軟體整合寫死(hard-coded)的登入驗證資訊,可能導致未授權存取。指令注入(command injection)軟體漏洞讓遠端攻擊者可傳送未授權指令而取得路由器控制權; D-Link軟體的登入私有金鑰碼處置不當,像是暴露於公開網站上長達6個月;以及用戶登入驗證資料明明有免費防護軟體而不用,卻使其以可讀取的明碼形式留存行動裝置的app上。
FTC表示,這些弱點駭客用很簡單的方法就能入侵,像是經由有漏洞的路由器取得消費者退稅資料或裝置上的其他檔案,再將消費者導向詐欺網站,或是透過該路由器攻擊同一區域上的其他上裝置,如手機、IP攝影機或連網裝置等。或利用問題相機監看消費者動向藉機竊取或犯案,或是錄下其個人活動及交談內容。
FTC表示,本案是美國政府在物聯網(IoT)時代加強消費者隱私及安全保護行為的一環。FTC消費者防護局主任Jessica Rich指出,家用路由器及IP攝影機愈來愈常成為駭客攻擊目標,導致消費者敏感個人資訊被取得及外洩,當廠商告訴消費者他們的設備是安全時,就必須採取必要措施確保這些宣稱的真實性。
不過友訊透過公開聲明否認上述指控,「我們向來將產品安全性以及顧客隱私資料的防護列為首要任務。」該公司並表示準備提出抗告。
因應物聯網(IoT)產品的普及及伴隨而來的安全風險,FTC曾在2015年對IoT產品業者頒佈安全指導原則。FTC也在2014年及2016年初分別對TRENDNet及華碩提出類似告訴,兩家公司後來相繼和FTC達成和解,其中華碩以改善產品及接受20年稽核換取和解。