美国一位安全开发员Matthew Garrett于6月在亚马逊美国网站上购买了一款产品并给予一星差评后,遭到了中国厂商销售人员的骚扰。
其推特个人资料显示,加勒特(Garrett)的身份是CoreOS Linux的一名安全开发人员。他除了给所购商品打了一星的超低分(满分五星),还洋洋洒洒地写了一篇近800字的评论,主要从专业角度分析了插座的安全漏洞等问题,措辞中并无谩骂之语。
加勒特为所购插座写了一篇近800字的反馈文章。
加勒特购买的是一款AuYou牌可连接网络的电源插座,这款产品售价30美元,可以让用户使用手机开启或关闭壁装插座的电源,可以用它来控制各种插电设备。也就是说,不管你是否在家,都能通过手机等移动设备连接这款插座,从而控制连接在插座上的灯或其他家用电器。
Garrett给出差评的AuYou牌WiFi控制、无线智能电源插座。
这听起来很美好,但加勒特在评论文章中就质疑了这款物联网设备的安全性。
其在评论中解释,如果你手机连接的是家里的Wi-Fi网络,那么它会直接把开关指令发送给插座。但如果你不在家里,手机就会先把指令发送到位于中国的一台服务器,然后再由它转发给插座。
“那些指令数据包看似经过加密,但其实并不是真正的加密。”身为安全开发者的加勒特在评论中写道,结果就是,你所用插座的唯一网络ID是以未加密形式传输给中国服务器的。掌握了那个ID的人就能控制相对应的插座。
要想完全避免自己的插座被黑客入侵,你只能屏蔽那台服务器。然而,这样做会让所有人(包括他自己)再也无法远程控制AuYou插座。这在加勒特看来就是一个漏洞。
加勒特进一步解释道:“如果有人知道了你插座的MAC地址,那么他们将可以在世界任何地方控制它。你无法通过设置密码阻止他们,而一般的家用路由器设置也无法起到屏蔽效果。你需要单独地屏蔽那台服务器才能保护自己。此外,期待普通家庭用户做到这些是不现实的。而且,如果你进行了这样的屏蔽,你也就完全失去了在外面远程控制设备的能力。”
加勒特的观点,引发中国商家销售人员的激烈反应。
加勒特转发给科技网站TechCrunch的一封邮件中,提到了这名中国商家销售人员的请求:“刚才我的老板责怪我,他说如果我不能删除这个差评,他就要解雇我。请帮帮我。能不能请你把差评改成好评?”
加勒特在推特上发帖称自己已经收到三封邮件,称厂商请求他删除评论,不然他们就会被解雇。
加勒特随后一条推文:又收到一封邮件,说如果我不删除评论,他们就要向亚马逊投诉我。
加勒特对此的回应是,如果制造商修复了这个漏洞,他就会修改自己的评论。而AuYou的代表坚称,如果评论没有修改,其就会被辞退。一周之后,这位代表再次来信,请求加勒特删除差评,并威胁说,如果加勒特不删除差评,其就要向亚马逊举报,而且其他评论账号也要写信进行投诉。
加勒特表示,他在亚马逊上发表过很多关于安全问题的评论,但从来没有遇到过这种事。
“如果真有人会因为我写的东西而丢掉工作,我会重新考虑的。”加勒特向TechCrunch表示,“另一方面,就其本身而言,很多公司这种不关心用户安全的态度是非常可怕的。让人们在挑选这类设备时搞清楚状况也很重要。”