D-Link路由器安全性差，美聯邦貿易委員會將其告上法庭

美聯邦貿易委員會（FTC）於上周四控告台灣友訊集團（D-Link），稱其生產的路由器和網路攝像頭存在安全漏洞，用戶面臨被黑客攻擊的風險。

點擊閱讀原文查看訴訟文檔

據舊金山聯邦法院收到的指控稱，D-Link多次未能採取合理的安全措施確保設備安全，其產品存在的漏洞使得黑客可以遠程監控用戶活動，並進一步實施盜竊等犯罪行為。

但FTC在本次訴訟中並沒有提供任何關於D-Link設備已被黑客攻陷的事實，只是分析了用戶受到上述攻擊的可能性。 當然，D-Link正藉此予以反駁。他們否認FTC的所有指控並認為他們毫無依據。

立場強硬的FTC

據悉，FTC此舉是其致力於物聯網（IoT）安全，保護消費者隱私措施的一部分。眾所周知，黑客會利用網路設備漏洞，通過劫持設備來打造殭屍網路，對主幹網發動大規模DDoS攻擊。

在去年的9月至10月，Mirai殭屍程序就曾通過感染路由器、攝像頭、DVR等設備癱瘓了安全新聞網站KrebsOnSecurity.com，法國網站主機OVH，美國域名服務商Dyn等企業網路。

FTC聲稱，正是由於他們非常了解這些潛在威脅，才決定起訴D-Link。

他們指出，

D-Link在此前一直宣傳自身產品擁有高安全度且具備「先進的網路安全性能」。

但事實上，這些產品存在極易受到攻擊的安全漏洞，而這些漏洞本是可以預先修復的。

比如其網路攝像頭的默認用戶名和登錄密碼都是「guest」，非常容易被猜到。

不僅如此，D-Link也未能及時修補軟體中的安全缺陷，遺留了命令注入等漏洞，使得黑客能夠遠程控制用戶設備。

此案中，D-Link被指違反了多項FTC條例，包括涉嫌在設備界面和廣告渠道採用虛假的安全性宣傳，誘導、欺騙消費者；沒有實施必要的防治措施來避免用戶遭受一系列已知安全漏洞的攻擊等。

目前，FTC還沒有明確表示是否會對有類似問題的公司提起訴訟。

職權範圍之爭

不過D-Link似乎並不買賬：D-Link拒絕承認FTC的指控，並且表示會「對此採取進一步措施（taking steps to defend the action）」。

事實上，不只D-Link，數量眾多的物聯網設備公司都存在糟糕的安全問題。安全專家一直在建議美國政府出台強硬的行業安全條例來規範廠商的行為。而面對近些年日益嚴峻的IoT威脅態勢，FTC所採取的手段也愈發強硬。

在此之前，FTC就曾起訴過華碩和TRENDnet，並最終與華碩達成和解。

然而，

D-Link針對本次指控的強烈否認卻引發了人們另一層面的思考：FTC的監管是否過於寬泛和嚴格？

部分業內人士對FTC的做法表示了質疑。Errata Security（美國網路安全公司）CEO，Robert Graham認為，「對於FTC而言，無論你是D-Link，微軟，還是思科，只要你承諾自身產品的安全性但又沒能及時，完整地公布安全漏洞，就會遭到指控。

而絕對的安全是不可能的，FTC的標準顯然過於霸道了。」

而來自Frankfurt Kurnit Klein&Selz法律事務所的Jeremy Goldman的分析或多或少印證了Robert的觀點，「

目前美國沒有相關法律規定這些網路設備所要具備的最低安全標準是怎樣的。

FTC此舉在向眾多物聯網設備廠商傳遞一個強硬信號的同時，也以保護消費者安全的名義嘗試建立一些新的標準。」他說，「訴訟的關鍵在於，FTC要向聯邦法院證明D-Link的網路設備已經給消費者造成實質損失，或至少是極可能帶來嚴重後果的。」

* 參考來源：

NetworkWorld

，FB小編cxt編譯，轉載請註明來自FreeBuf.COM