7月12日消息,据外媒报道美国一位开发人员Matthew Garrett在亚马逊美国网站上购买了一款智能蓝牙可调光灯泡并打了一星差评后,收到了来自中国商家的数封电邮请求删除该评论。今年6月Matthew Garrett在亚马逊美国网站上购买了一款智能蓝牙LED变色可调光灯泡,它能与手机相连,通过下载的APP控制该灯泡。
图注:该款智能灯泡截图
随后Matthew Garrett发现,这款物联网设备存在重大安全隐患,如果将手机连接到自家WIFI后,它会直接发送开/关命令到插座。但这个控制的路径是,手机会将命令发送到中国的服务器上,然后再发给插座传递命令。
Matthew Garrett称,“这些命令数据包看起来像是加密过的,但在现实中其实根本没有加密可言,”他举例说,如果有人知道你的插槽中的MAC地址,他们可以从世界上任何地方控制你的插座。如果你想阻止这样的事情发生,你需要屏蔽那台服务器,但同时也意味着所有人,包括使用者自己都不能控制这个插座。
Matthew Garrett认为这台智能开关插座存在巨大的安全漏洞,他在这款商品的评论区留下了自己的长篇评论并给予了卖家一星的评论(满分为五星)。
图注:Matthew Garrett留下的长评
6月28日,MatthewGarrett在自己的Twitter上发表了一条推文,称自己因为给了一星差评收到了来自这个产品制造商的邮件,请求撤销该评论否则自己将会被解雇。
图注:Matthew Garrett 推特截图
随后他又更新推文,称来自厂商的邮件威胁他,如果不把该评论删除,将会向亚马逊投诉。
图注:Matthew Garrett推特截图
Matthew Garrett认为,安全研究人员在研发产品时,必须要让客户了解流行于物联网产品的安全漏洞。而不是蒙蔽用户,像亚马逊评论区就是一个自然的交流中心,作为一名开发人员他有责任发布诚实的用户体验与发现。但Matthew Garrett同时表示,如果自己的评论影响到了另一个人是否能正常拥有自己的工作,他会重新考虑自己的做法。
TechWeb查询亚马逊美国网站,在这款智能灯泡的评论区,仍然可以看到Matthew Garrett留下的长评。(王卡卡)