智能门铃发现安全漏洞，数百万用户面临网络攻击风险

智能门铃市场（带集成摄像头）品牌、设备、版本和零售商众多，市场不断增长，使得买家很难找到安全可靠的产品。

特别是，据《消费者报告》称，这些设备缺乏对网络流量的基本访问控制，这使得陌生人可以随意访问用户的私人视频。

《消费者报告》的调查结果是什么？

据《消费者报告》的一项调查显示，内置摄像头的智能门铃存在危险的安全漏洞，攻击者可能因此获得未经授权的视频录像访问权限、控制门铃功能，甚至窃取个人信息。

一切都始于《消费者报告》的一位记者收到一封电子邮件，邮件中包含他本人对着门铃摄像头挥手的照片。这些照片实际上是《消费者报告》的安全和隐私工程师史蒂夫·布莱尔发送的，他成功地从2923英里之外入侵了门铃系统。

布莱尔和他的同事测试工程师德拉·罗卡深入调查，发现了中国制造商在亚马逊、沃尔玛、西尔斯和Shein等电商平台上销售的廉价、不安全的电子产品中的安全漏洞。

这些门铃没有联邦通信委员会 (FCC) 为每台电子设备分配的唯一识别码 (ID)，因此在美国销售属于违法行为。FCC 使用 ID 来追踪在美国市场销售的设备，并确保它们符合安全标准。

智能门铃缺少 FCC ID 是一个严重的问题，因为这意味着这些设备可能不符合安全标准，这可能会使用户面临网络攻击或个人信息被盗的风险。

研究人员在至少10款由中国品牌Eken和Tuck销售的、内置摄像头的智能门铃中发现了安全漏洞，所有被分析的门铃均通过Eken旗下的Aiwit移动应用程序进行控制。此外，另外两款来自中国品牌Fishbot和Rakeblue的产品也存在类似的安全漏洞。

Eken 和 Tuck 是两个销售强劲的智能门铃品牌，其中许多产品在亚马逊上架，仅 2024 年 1 月就售出了超过 4200 件。这些门铃在 Walmart.com、sears.com 以及 Shein 和 Temu 等全球电商平台上也有销售，品牌名称则有所不同，例如 Andoe、Gemee 和 Luckwolf。

每月都有成千上万个这样的智能门铃在亚马逊和其他电商平台售出，包括沃尔玛、西尔斯以及Shein和Temu等全球知名电商平台。安全专家表示，这些智能门铃只是冰山一角，中国制造商生产的廉价、不安全的电子设备正销往世界各地。

潜在危险

任何能够接触到门铃的人，无需任何专业工具或高级黑客技术，就能控制该设备。他们只需下载应用程序并将其与手机配对，即可无限期地查看摄像头的视频画面。

入侵者可以劫持门铃来监视家庭成员的活动，从而泄露未加密的IP地址和Wi-Fi网络名称。视频托管公司服务器安全措施的薄弱也会加剧这种威胁。

Eken 的 Aiwit 智能手机应用程序可以将门铃与 WiFi 接入点配对，使任何人无需密码或帐户即可访问视频流。即使原所有者重新获得设备控制权，入侵者也可以确定设备的序列号并访问视频流中的静态图像。

《消费者报告》技术政策主管贾斯汀·布鲁克曼表示，电子商务平台，尤其是像亚马逊这样的大公司，应该为其产品造成的损害承担责任。《消费者报告》还就这些问题通知了Eken、Tuck、亚马逊、沃尔玛、西尔斯、Shein、Temu以及美国联邦通信委员会（FCC）。

在收到《消费者报告》的通知后，中国电商平台天木已从其网站下架所有使用爱维特App且由亿健制造的门铃设备。此外，沃尔玛也表示，不符合安全、可靠性和监管标准的商品将被下架并屏蔽。与此同时，亚马逊、西尔斯和Shein等其他电商平台尚未对此事作出官方回应。

如何保护您的门铃摄像头？

如果您家安装了这类门铃，《消费者报告》建议您将其与家里的 Wi-Fi 断开连接，并从门上拆下来。《消费者报告》还评出了罗技、SimpliSafe 和 Ring 等品牌的智能门铃，这些门铃的安全性更高。

虽然 100% 的安全很难实现，但您可以采取以下一些措施来确保您的门铃免受黑客和第三方间谍活动的侵害：

选择信誉良好的品牌

避免使用廉价或无品牌的智能门铃，尤其是不知名厂商生产的门铃。

选择信誉良好的知名品牌生产的设备，这些品牌历来重视安全性。

检查安全功能

请确保您的门铃使用强加密技术来传输和存储视频。

寻找诸如登录双因素身份验证 (2FA) 和活动提醒等功能。

保护您的 Wi-Fi 网络

为您的 Wi-Fi 网络设置强密码并启用加密（WPA2 或 WPA3）。

考虑为门铃等设备创建一个单独的访客网络，使其与存放敏感数据的主网络完全隔离。

管理应用程序权限

仅授予门铃应用程序所需的最低权限，例如访问摄像头和麦克风。

避免使用不明开发者的应用程序，请使用制造商提供的官方应用程序。

务必保持固件最新。

定期更新门铃固件，以确保您拥有最新的安全补丁和漏洞修复程序。

如果可用，请开启自动更新以确保安全。

活动监控

密切关注谁可以使用你的门铃，并监控活动日志。

留意任何可疑的登录尝试或异常活动。

查看隐私设置

调整门铃的隐私设置，以控制录制哪些区域以及录像保存多长时间。

关闭你不需要的功能，例如公共区域的移动侦测功能。

请查看门铃上显示的产品识别码。没有此识别码的设备可能是非法的，并且缺乏适当的安全措施。

确保你的门铃物理上牢固，不易被破坏。