亚马逊上出售的“智能”门铃存有安全漏洞

由假日购物者撰写的寻找无线连接的门铃的文章可能希望更仔细地了解该设备的安全功能。

英国的安全公司NCC Group和消费者权益保护组织哪个？在Amazon和eBay等流行平台上出售的11个“智能”门铃中发现了漏洞。一个漏洞可能使远程攻击者可以通过轻扫登录凭据来闯入无线网络。另一个已经存在多年的严重漏洞可能使攻击者能够拦截和操纵网络上的数据。

这项调查的重点是经常模糊的供应商制造的门铃，但仍然赢得了最高评价，并在亚马逊和eBay上脱颖而出。研究人员对某些设备将敏感数据存储在不安全的服务器上感到担忧，其中包括位置数据以及门铃摄像头捕获的音频和视频。研究人员说，例如，由一家名为Victure的公司生产的设备将未经加密的用户无线名称和密码发送到了中国的服务器。

亚马逊在一份声明中说，它要求在其网站上出售的产品必须符合适用的法律和法规，并且拥有可以检测“不安全或不合规的产品在我们的商店中列出”的工具。 eBay说，它删除了违反其安全标准的清单，但研究人员标记的设备没有达到该阈值。 Victure没有立即回应置评请求。

NCC集团-哪个？团队表示，他们试图与易受攻击的智能门铃的各个供应商联系，取得了喜忧参半的结果。例如，研究人员分享了他们的发现后，一个未具名的设备供应商就删除了该产品的在线清单。

NCC集团研究总监Matt Lewis说，他的团队的发现表明“一种更广泛的文化，在制造过程中倾向于捷径而非安全性。”其他研究发现，从路由器到网络摄像头的家庭网络设备到处都是漏洞。

在这种情况下，研究人员从亚马逊和eBay购买了另一台容易受到KRACK攻击的设备，这是一个已有三年历史的漏洞，攻击者可以利用该漏洞窃听无线网络

智能门铃允许房主与他们前门的人交谈，随着他们越来越受欢迎，研究人员对其进行了详细审查。 NCC集团-哪个？这项研究是在去年发现亚马逊广受欢迎的Ring Doorbell中存在漏洞之后，该事件促使美国立法者对该公司的安全做法进行了审查。

互联网连接的设备或“物联网”（IoT）设备中广泛记录的安全性问题似乎引起了政策制定者的共鸣。在对物联网设备进行了多年监督之后，美国和英国的立法者开始采取行动。英国政府提出了一项法律，要求制造商在设备中内置安全控制措施。

上周，美国国会通过了期待已久的立法，该立法将为与美国政府签约的物联网供应商设定安全要求。