美國聯(lián)邦貿(mào)易委員會與D-Link撕上法庭,稱其路由器安全性太差

責(zé)任編輯:editor005

作者:cxt

2017-01-11 14:48:18

摘自:黑客與極客

美聯(lián)邦貿(mào)易委員會(FTC)于上周四控告臺灣友訊集團(tuán)(D-Link),稱其生產(chǎn)的路由器和網(wǎng)絡(luò)攝像頭存在安全漏洞,用戶面臨被黑客攻擊的風(fēng)險。

美聯(lián)邦貿(mào)易委員會(FTC)于上周四控告臺灣友訊集團(tuán)(D-Link),稱其生產(chǎn)的路由器和網(wǎng)絡(luò)攝像頭存在安全漏洞,用戶面臨被黑客攻擊的風(fēng)險。

訴訟文檔

據(jù)舊金山聯(lián)邦法院收到的指控稱,D-Link多次未能采取合理的安全措施確保設(shè)備安全,其產(chǎn)品存在的漏洞使得黑客可以遠(yuǎn)程監(jiān)控用戶活動,并進(jìn)一步實施盜竊等犯罪行為。但FTC在本次訴訟中并沒有提供任何關(guān)于D-Link設(shè)備已被黑客攻陷的事實,只是分析了用戶受到上述攻擊的可能性。 當(dāng)然,D-Link正藉此予以反駁。他們否認(rèn)FTC的所有指控并認(rèn)為他們毫無依據(jù)。

立場強(qiáng)硬的FTC

據(jù)悉,F(xiàn)TC此舉是其致力于物聯(lián)網(wǎng)(IoT)安全,保護(hù)消費者隱私措施的一部分。眾所周知,黑客會利用網(wǎng)絡(luò)設(shè)備漏洞,通過劫持設(shè)備來打造僵尸網(wǎng)絡(luò),對主干網(wǎng)發(fā)動大規(guī)模DDoS攻擊。在去年的9月至10月,Mirai僵尸程序就曾通過感染路由器、攝像頭、DVR等設(shè)備癱瘓了安全新聞網(wǎng)站KrebsOnSecurity.com,法國網(wǎng)站主機(jī)OVH,美國域名服務(wù)商Dyn等企業(yè)網(wǎng)絡(luò)。

FTC聲稱,正是由于他們非常了解這些潛在威脅,才決定起訴D-Link。他們指出,D-Link在此前一直宣傳自身產(chǎn)品擁有高安全度且具備“先進(jìn)的網(wǎng)絡(luò)安全性能”。但事實上,這些產(chǎn)品存在極易受到攻擊的安全漏洞,而這些漏洞本是可以預(yù)先修復(fù)的。比如其網(wǎng)絡(luò)攝像頭的默認(rèn)用戶名和登錄密碼都是“guest”,非常容易被猜到。

不僅如此,D-Link也未能及時修補(bǔ)軟件中的安全缺陷,遺留了命令注入等漏洞,使得黑客能夠遠(yuǎn)程控制用戶設(shè)備。

此案中,D-Link被指違反了多項FTC條例,包括涉嫌在設(shè)備界面和廣告渠道采用虛假的安全性宣傳,誘導(dǎo)、欺騙消費者;沒有實施必要的防治措施來避免用戶遭受一系列已知安全漏洞的攻擊等。

目前,F(xiàn)TC還沒有明確表示是否會對有類似問題的公司提起訴訟。

  職權(quán)范圍之爭

不過D-Link似乎并不買賬:D-Link拒絕承認(rèn)FTC的指控,并且表示會“對此采取進(jìn)一步措施(taking steps to defend the action)”。事實上,不只D-Link,數(shù)量眾多的物聯(lián)網(wǎng)設(shè)備公司都存在糟糕的安全問題。安全專家一直在建議美國政府出臺強(qiáng)硬的行業(yè)安全條例來規(guī)范廠商的行為。而面對近些年日益嚴(yán)峻的IoT威脅態(tài)勢,F(xiàn)TC所采取的手段也愈發(fā)強(qiáng)硬。在此之前,F(xiàn)TC就曾起訴過華碩和TRENDnet,并最終與華碩達(dá)成和解。然而,D-Link針對本次指控的強(qiáng)烈否認(rèn)卻引發(fā)了人們另一層面的思考:FTC的監(jiān)管是否過于寬泛和嚴(yán)格?

部分業(yè)內(nèi)人士對FTC的做法表示了質(zhì)疑。Errata Security(美國網(wǎng)絡(luò)安全公司)CEO,Robert Graham認(rèn)為,“對于FTC而言,無論你是D-Link,微軟,還是思科,只要你承諾自身產(chǎn)品的安全性但又沒能及時,完整地公布安全漏洞,就會遭到指控。而絕對的安全是不可能的,F(xiàn)TC的標(biāo)準(zhǔn)顯然過于霸道了。”

而來自Frankfurt Kurnit Klein&Selz法律事務(wù)所的Jeremy Goldman的分析或多或少印證了Robert的觀點,“目前美國沒有相關(guān)法律規(guī)定這些網(wǎng)絡(luò)設(shè)備所要具備的最低安全標(biāo)準(zhǔn)是怎樣的。FTC此舉在向眾多物聯(lián)網(wǎng)設(shè)備廠商傳遞一個強(qiáng)硬信號的同時,也以保護(hù)消費者安全的名義嘗試建立一些新的標(biāo)準(zhǔn)。”他說,“訴訟的關(guān)鍵在于,F(xiàn)TC要向聯(lián)邦法院證明D-Link的網(wǎng)絡(luò)設(shè)備已經(jīng)給消費者造成實質(zhì)損失,或至少是極可能帶來嚴(yán)重后果的。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號