智能门铃发现安全漏洞，数百万用户面临网络攻击风险

带有集成摄像头的智能门铃市场正在增长，拥有众多品牌、设备、版本和零售商，这使得买家难以找到安全可靠的产品。

特别是，《消费者报告》指出，这些设备缺乏对网络流量的基本访问控制，这使得陌生人可以自由访问用户的私人视频。

《消费者报告》的调查结果？

《消费者报告》的一项调查显示，内置摄像头的智能门铃存在危险的安全漏洞，攻击者可能利用这些漏洞未经授权访问视频片段、控制门铃功能，甚至窃取个人信息。

事情的起因是，一位《消费者报告》记者收到一封电子邮件，里面有他向门铃摄像头挥手的照片。这些照片实际上是《消费者报告》安全与隐私工程师史蒂夫·布莱尔在2923英里外成功入侵门铃后发送的。

布莱尔和测试工程师德拉·罗卡 (Della Rocca) 进行了深入挖掘，发现在亚马逊、沃尔玛、西尔斯和 Shein 等电子商务平台上销售的中国制造商生产的廉价、不安全的电子产品存在安全漏洞。

这些门铃没有美国联邦通信委员会 (FCC) 为每个电子设备分配的唯一识别号 (ID)，因此在美国销售属于非法行为。FCC 使用该 ID 来追踪在美国市场上销售的设备，并确保它们符合安全标准。

智能门铃缺少 FCC ID 是一个严重的问题，因为这意味着这些设备可能不符合安全标准，这可能会使用户面临网络攻击或个人信息被盗的风险。

研究人员发现，中国品牌 Eken 和 Tuck 旗下至少 10 款内置摄像头的智能门铃存在安全漏洞，所有被分析的门铃均通过 Eken 旗下的 Aiwit 手机应用程序进行控制。此外，另外两款中国品牌 Fishbot 和 Rakeblue 的产品也存在类似的安全漏洞。

Eken 和 Tuck 是销量强劲的智能门铃品牌，许多产品在亚马逊上架，仅 2024 年 1 月就售出超过 4,200 台。这些门铃也在 Walmart.com、sears.com 以及全球电商平台 Shein 和 Temu 上架，并以 Andoe、Gemee 和 Luckwolf 等不同名称销售。

亚马逊和其他电商平台，包括沃尔玛、西尔斯以及Shein和Temu等全球热门电商平台，每月都会售出数千个此类智能门铃。安全专家表示，这些智能门铃只是中国制造商在全球各地市场上销售的廉价、不安全电子设备中的冰山一角。

潜在危险

任何能够实际接触门铃的人，无需任何专业工具或高级黑客技能，即可控制该设备。他们只需下载应用程序并将其与手机配对，即可无限期地查看摄像头的视频。

入侵者可能会劫持门铃来监视家庭成员的活动，从而泄露未加密的IP地址和Wi-Fi网络名称。视频托管公司服务器的安全性较差，这可能会加剧威胁。

Eken 的 Aiwit 智能手机应用程序可以将门铃与 WiFi 接入点配对，任何人都无需密码或账户即可访问视频。即使原主人重新控制了设备，入侵者也可以确定设备的序列号并访问视频中的静态图像。

《消费者报告》技术政策总监贾斯汀·布鲁克曼表示，电商平台，尤其是像亚马逊这样的巨头，应该为其产品造成的危害负责。Eken、Tuck、亚马逊、沃尔玛、西尔斯、Shein、Temu 和美国联邦通信委员会（FCC）也收到了《消费者报告》关于这些问题的通报。

在收到《消费者报告》的通知后，中国电商平台Temu已从其网站上移除所有使用Aiwit应用程序并由Eken生产的门铃设备。此外，沃尔玛表示，不符合安全性、可靠性和监管标准的商品将被下架并从该电商平台上屏蔽。与此同时，亚马逊、西尔斯和Shein等其他电商平台尚未对上述问题做出正式回应。

如何保护您的门铃摄像头？

如果您拥有这类门铃，《消费者报告》建议将其与家庭Wi-Fi断开连接，并将其从门上取下。《消费者报告》对罗技、SimpliSafe和Ring等品牌的安全性更高的智能门铃进行了评级。

虽然 100% 的安全极难实现，但您可以采取以下一些步骤来确保您的门铃免受黑客和第三方间谍活动的侵害：

选择信誉良好的品牌

避免使用廉价或无品牌的智能门铃，尤其是来自不熟悉的制造商的智能门铃。

寻找具有优先考虑安全性历史的知名品牌的设备。

检查安全功能

确保您的门铃使用强加密来传输和存储视频。

寻找用于登录和活动警报的双因素身份验证 (2FA) 等功能。

保护您的 Wi-Fi 网络

为您的 Wi-Fi 网络使用强密码并启用加密（WPA2 或 WPA3）。

考虑为门铃等设备创建一个单独的访客网络，与保存敏感数据的主网络完全分开。

管理应用程序权限

仅授予门铃应用程序所需的最低权限，例如访问摄像头和麦克风的权限。

避免使用未知开发商的应用程序，并使用制造商的官方应用程序。

始终保持固件为最新版本

定期更新您的门铃固件，以确保您拥有最新的安全补丁和错误修复。

如果可以，请打开自动更新以保持受保护。

活动监控

留意谁有权使用您的门铃并监控活动日志。

查找任何可疑的登录尝试或异常活动。

查看隐私设置

调整门铃的隐私设置来控制记录哪些区域以及存储录像的时间。

关闭您不需要的功能，例如公共区域的运动检测。

查找门铃上显示的产品识别号。没有此识别号的设备可能是非法的，并且缺乏适当的安全措施。

确保您的门铃物理安全并且不易被篡改。