路由器、網路攝影機安全性不足，友訊遭美國政府告上法院

美國貿易委員會（FTC）周三控告路由器大廠友訊（D-Link）生產的無線路由器及IP攝影機安全防護不足可能遭駭，導致美國消費者資訊隱私受到侵害。
 
FTC向加州北區法院提出告訴，表示友訊未採取合理的安全性措施來確保其路由器及連網攝影機，使消費者的敏感資訊，包括攝影機錄製的影音訊息可能遭駭客取得。
 
根據FTC的起訴文件，友訊網站上雖然以標題為「輕鬆防護（Easy to Secure）」及「進階網路安全性（Advanced Network Security）」的行銷文件標榜其路由器的產品安全性，但該公司的產品卻有種種常見且防護也不難的安全瑕疵。

像是友訊相機軟體整合寫死（hard-coded）的登入驗證資訊，可能導致未授權存取。指令注入（command injection）軟體漏洞讓遠端攻擊者可傳送未授權指令而取得路由器控制權； D-Link軟體的登入私有金鑰碼處置不當，像是暴露於公開網站上長達6個月；以及用戶登入驗證資料明明有免費防護軟體而不用，卻使其以可讀取的明碼形式留存行動裝置的app上。 

FTC表示，這些弱點駭客用很簡單的方法就能入侵，像是經由有漏洞的路由器取得消費者退稅資料或裝置上的其他檔案，再將消費者導向詐欺網站，或是透過該路由器攻擊同一區域上的其他上裝置，如手機、IP攝影機或連網裝置等。或利用問題相機監看消費者動向藉機竊取或犯案，或是錄下其個人活動及交談內容。
 
FTC表示，本案是美國政府在物聯網（IoT）時代加強消費者隱私及安全保護行為的一環。FTC消費者防護局主任Jessica Rich指出，家用路由器及IP攝影機愈來愈常成為駭客攻擊目標，導致消費者敏感個人資訊被取得及外洩，當廠商告訴消費者他們的設備是安全時，就必須採取必要措施確保這些宣稱的真實性。
 
不過友訊透過公開聲明否認上述指控，「我們向來將產品安全性以及顧客隱私資料的防護列為首要任務。」該公司並表示準備提出抗告。
 
因應物聯網（IoT）產品的普及及伴隨而來的安全風險，FTC曾在2015年對IoT產品業者頒佈安全指導原則。FTC也在2014年及2016年初分別對TRENDNet及華碩提出類似告訴，兩家公司後來相繼和FTC達成和解，其中華碩以改善產品及接受20年稽核換取和解。