因在亚马逊上给差评,这位安全研究人员遭到中国厂商威胁

下一篇文章

特斯拉公司称并未瞒报车祸进行股票套现

对一般的亚马逊购物者来说,商品评论只是购物体验中比较随意的一部分。你可能注意到了乔治·武井(George Take)写满 双关语 的评论,或者会花半小时一边查看关于“ 新鲜兔肉 ”的戏谑评论一边开怀大笑,但你在购买商品之前可能不会仔细查看每一则评论。

但对卖家来说,评论就不是能够一笑置之的东西了。有时候,亚马逊零售商为了保证好评会不择手段,对此安全研究人员马修·加勒特(Matthew Garrett)最近有了亲身体会,因为他给一个联网电源插座留下了 一星评价 。在加勒特礼貌地指出这款插座不太安全之后,他收到了来自制造商的电子邮件,称他的差评将导致员工遭到解雇,其他评论者正请愿让亚马逊删掉他的差评。

这次事件的焦点是 AuYou 网络插座 ,这款产品售价 30 美元,可以让用户使用手机开启或关闭壁装插座的电源。如果你不想花钱购买智能灯泡,这倒是一种开关照明设备的不错方式,而且你也能用它来控制其他插电设备。不管你是否在家,你都能使用 AuYou 插座——因此,即使你仍然身在办公室,你也能遥控自己公寓里的灯。

不过,就像很多物联网设备一样,AuYou 插座似乎存在一个严重的安全漏洞。正如加勒特在其评论中解释的,如果你手机连接的是家里的 Wi-Fi 网络,那么它会直接把开/关指令发送给插座。但如果你不在家里,手机会先把指令发送到位于中国的一台服务器,然后再由它转发给插座。

“那些指令数据包看似经过加密,但其实并不是真正的加密。”加勒特在自己的评论中解释道。

其结果是,你所用插座的唯一网络 ID 是以未加密形式传输给中国服务器的——这样,掌握了那个 ID 的人就能控制对应的插座。为了避免自己的插座被黑客入侵,加勒特唯一能做的就是屏蔽那台服务器。然而,这样做会让所有人(包括他自己)再也无法远程控制 AuYou 插座。

“如果有人知道了你插座的 MAC 地址,那么他们将可以在世界任何地方控制它。你无法通过设置密码阻止他们,而一般的家用路由器设置也无法起到屏蔽效果。你需要单独地屏蔽那台服务器(地址为 115.28.45.50),这样才能保护自己。此外,期待普通家庭用户做到这些是不现实的。而且,如果你进行了这样的屏蔽,你也就完全失去了在外面远程控制设备的能力。”加勒特在评论中解释道。

联网插座被黑客入侵,这倒不完全是什么网络安全噩梦——在最糟糕的情况中,你可能会遇上一位黑客反复地开关你的灯,就像在开一场闪光灯派对。还有一种比较小的可能性是,反复断电可能会造成设备损坏。不过,这并不是什么世界末日,它只是一种愚蠢的安全漏洞。

这使得制造商的激烈反应显得更加不同寻常。加勒特给我发来了一些来自该制造商的电子邮件。

“刚才我的老板责怪我,他说如果我不能删除这个差评,他就要解雇我。请帮帮我。”制造商的代表写道,“能不能请你把差评改成好评?”

加勒特回应称,如果制造商修复了这个漏洞,他就会修改自己的评论。而 AuYou 的代表坚称,如果评论没有修改,她就会被炒鱿鱼。一周之后,这位代表再次来信,请求加勒特删除差评。她随后说,如果加勒特不删除差评,她就要向亚马逊举报,而且其他评论者也要写信进行投诉。

加勒特说,他在亚马逊上发表过很多关于安全问题的评论,但从来没有遇到过这种事情。当然,没人应该因为一则亚马逊上的评论而丢掉工作。加勒特说,他不确定自己是遭到了欺骗还是真有人饭碗不保。

“如果我觉得真有人会因为我写的东西而丢掉工作,我会重新考虑的。”他说,“另一方面,就其本身而论,很多公司这种不关心用户安全的态度是非常可怕的。让人们在挑选这类设备时搞清楚状况,这是很重要的。”

道理站在加勒特这一边:当安全研究人员向用户告知流行物联网产品的安全漏洞时,他们是在做惠及大众的好事。亚马逊是这类注意事项的天然交流中心,研究人员不应该因为发布诚实的安全评论而受到威胁。

TechCrunch 已经联系亚马逊就如何调解买卖双方之间的分歧置评,但亚马逊以客户隐私为由拒绝发表评论。亚马逊此前曾 打击过那些花钱买好评的卖家 ,也 封禁过因差评起诉评论者的卖家账号

翻译:王灿均(@何无鱼

Security researcher gets threats over Amazon review

blog comments powered by Disqus