亚马逊上出售的“智能”门铃存有安全漏洞

从网上市场购买的11个智能门铃失败了？安全测试，这是对您和您的房屋可能构成风险的最新智能产品示例。

带有摄像头的智能门铃可让您看到谁在门，而无需起床沙发，但经过深入的安全测试，发现有些门铃对不速之客开放。

随着互联网智能技术的兴起，智能门铃已成为英国街头的常见景象。诸如Ring和Nest的门铃之类的流行型号价格昂贵，但在亚马逊，eBay和Wish上却出现了许多外观相似的设备，而价格却只是其一小部分。

它们看起来相似，并承诺具有可比的功能，但是哪一个呢？与NCC Group的专业网络安全研究人员合作，发现其中一些设备存在严重漏洞。

我们测试了在eBay和亚马逊上发现的11种不同的门铃，其中许多都获得了5星级评价，被推荐为“亚马逊之选”或畅销书。其中一位被标记为“观众”中的第一畅销书。我们发现了每一个漏洞。

就成本而言，这大约是90英镑，接近某些Ring的门铃，但在安全性方面却远远落后于它们。我们以前发现过Victure产品的问题，即其无线安全摄像机。

我们测试的模型– Victure VD300 –将您的wi-fi名称和密码未经加密地发送到中国的服务器。任何能够拦截此数据的黑客都可以立即进入您的家庭网络并访问其上的其他设备。

这个有问题的门铃在亚马逊上排名第一，在1000多个评分中的得分为4.3（满分5分）。

更令人担忧的是，我们在亚马逊上发现了另一个无品牌的门铃，看上去与此Victure模型相同，并且NCC Group的专家证实了这一点。它看起来相同，并且漏洞完全相同。并没有说出有多少具有相似或不同底盘的克隆门铃正在使用相同的底层，不安全的软件和硬件。

哪一个？购买了Victure门铃的客户联系了该客户，并对发现的结果感到担忧。在Victure门铃的卖方拒绝退款后，我们将案件直接交给了亚马逊，亚马逊同意全额退款给客户。

我们发现其中一些缺陷导致门铃被盗，或者使入侵者更容易关闭设备。

可以在亚马逊上购买的Qihoo 360智能视频门铃很容易被窃取，因为犯罪分子可以使用所有智能手机附带的标准Sim卡弹出器将其从墙上拆卸下来。然后可以将其重置并出售。

来自名为Ctronics的品牌的视频门铃存在一个严重漏洞，该漏洞可能使网络罪犯窃取网络密码，并利用该密码不仅窃听门铃和路由器，还窃取家庭中的其他任何智能设备（例如恒温器），相机甚至是笔记本电脑。

我们在eBay上发现了这种无品牌的型号，虽然看上去与Ring的门铃相似，但肯定不是。门铃中的瑕疵很容易将其恢复到“配对”阶段。这使它脱机，并使犯罪分子可以控制它来窃取门铃，或者在他们盗窃客户的房屋时停止录制。

我们联系了eBay，eBay与我们联系了该产品的卖方。然后，他们从销售中删除了该列表。

如何购买最佳的智能门铃–选择适合您家中最佳门铃的所有信息。

我们测试的其他门铃还发现了一系列其他问题，这些问题都是无品牌的，或者来自在线市场之外鲜为人知的品牌。此漏洞包括：

KRACK –一种从eBay购买的没有明确品牌关联的设备容易受到称为KRACK（密钥重新安装攻击）的关键利用的攻击。这是Wi-Fi身份验证过程中的一个漏洞，攻击者可以利用该漏洞破坏某人家庭wi-fi上的WPA-2安全性，从而获得对其网络的访问权限。

缺乏数据加密–网络上的任何设备都可以访问您的wi-fi帐户和密码，并且一些门铃正在将未加密的数据发送到中国服务器。这意味着黑客可以访问此数据并将其用于渗透到网络上连接的其他设备，包括智能手机，平板电脑和笔记本电脑。

数据收集过多–您的门铃真正需要了解您多少信息？在某些情况下（例如设备的确切位置）太多了。

弱密码政策–这些模型不会提示您更改密码，并且具有一个基本的默认密码，该密码可能会花费黑客几秒钟的时间。在某些情况下，它们也很容易重置为默认密码，这意味着有人很容易被黑客入侵。根据英国政府提议的新IoT法规，使用默认密码是非法的。

我们测试的每个门铃都经过完整的互联网安全检查，因此我们可以识别在此指出的各种漏洞。如果找到一些，我们将不推荐门铃。

您在购物或设置商品时也会注意某些事项。

看品牌。如果您从未听说过该品牌，或者根本没有任何品牌，那么您应该谨慎。尝试搜索品牌以查看他们是否拥有网站或易于联系。如果不能，则应给设备提供较大的泊位。

检查评论。正如我们的虚假评论调查所显示的那样，您不能总是信任产品页面上的评论。尤其要注意负面因素，这些有时会为您提供更好，更可信赖的产品真实质量指示。

修改密码。任何连接互联网的设备都是如此：始终更改密码。最难破解的是由三个随机词组成。

保持最新。软件更新很少是关于添加功能的，而且往往不是在解决问题并使门铃更安全。检查设置以查看门铃是否自动更新并更新用于控制它的应用程序。

设置两因素身份验证。此功能并非总是可用，但是如果可以选择，请确保启用它。它通常会通过向手机发送用于访问设备的唯一代码（除了密码）来增加额外的层或安全性。对于黑客来说，访问这些独特的代码非常困难。

亚马逊表示：“我们要求商店提供的所有产品均符合适用的法律法规，并开发了行业领先的工具，以防止不安全或不合规的产品在商店中列出。”

eBay回答：‘当列出违反我们安全标准的产品时，我们会立即删除该列表。这些清单不违反我们的安全标准，但代表应由卖方或制造商解决的技术产品问题。我们已经并将继续促进哪个之间的讨论？和卖方，以便可以解决这些问题。’

我们还尝试与门铃制造商联系，但只能找到未回复的Accfly和Victure的详细信息。我们无法找到某人与其他门铃联系，因为有些根本没有品牌。

哪一个？希望即将出台的立法得到强大有效的执法支持，并让选定的执法机构最终有权中止，永久禁止销售或在必要时召回不合格的产品。

我们还希望看到在线市场和零售商对在其站点上出售的产品的安全性承担更多责任，而不论卖方是否是第三方。