美聯(lián)邦貿(mào)易委員會(huì)（FTC）于上周四控告臺(tái)灣友訊集團(tuán)（D-Link），稱其生產(chǎn)的路由器和網(wǎng)絡(luò)攝像頭存在安全漏洞，用戶面臨被黑客攻擊的風(fēng)險(xiǎn)。

訴訟文檔

據(jù)舊金山聯(lián)邦法院收到的指控稱，D-Link多次未能采取合理的安全措施確保設(shè)備安全，其產(chǎn)品存在的漏洞使得黑客可以遠(yuǎn)程監(jiān)控用戶活動(dòng)，并進(jìn)一步實(shí)施盜竊等犯罪行為。但FTC在本次訴訟中并沒有提供任何關(guān)于D-Link設(shè)備已被黑客攻陷的事實(shí)，只是分析了用戶受到上述攻擊的可能性。 當(dāng)然，D-Link正藉此予以反駁。他們否認(rèn)FTC的所有指控并認(rèn)為他們毫無依據(jù)。

立場強(qiáng)硬的FTC

據(jù)悉，F(xiàn)TC此舉是其致力于物聯(lián)網(wǎng)（IoT）安全，保護(hù)消費(fèi)者隱私措施的一部分。眾所周知，黑客會(huì)利用網(wǎng)絡(luò)設(shè)備漏洞，通過劫持設(shè)備來打造僵尸網(wǎng)絡(luò)，對(duì)主干網(wǎng)發(fā)動(dòng)大規(guī)模DDoS攻擊。在去年的9月至10月，Mirai僵尸程序就曾通過感染路由器、攝像頭、DVR等設(shè)備癱瘓了安全新聞網(wǎng)站KrebsOnSecurity.com，法國網(wǎng)站主機(jī)OVH，美國域名服務(wù)商Dyn等企業(yè)網(wǎng)絡(luò)。

FTC聲稱，正是由于他們非常了解這些潛在威脅，才決定起訴D-Link。他們指出，D-Link在此前一直宣傳自身產(chǎn)品擁有高安全度且具備“先進(jìn)的網(wǎng)絡(luò)安全性能”。但事實(shí)上，這些產(chǎn)品存在極易受到攻擊的安全漏洞，而這些漏洞本是可以預(yù)先修復(fù)的。比如其網(wǎng)絡(luò)攝像頭的默認(rèn)用戶名和登錄密碼都是“guest”，非常容易被猜到。

不僅如此，D-Link也未能及時(shí)修補(bǔ)軟件中的安全缺陷，遺留了命令注入等漏洞，使得黑客能夠遠(yuǎn)程控制用戶設(shè)備。

此案中，D-Link被指違反了多項(xiàng)FTC條例，包括涉嫌在設(shè)備界面和廣告渠道采用虛假的安全性宣傳，誘導(dǎo)、欺騙消費(fèi)者；沒有實(shí)施必要的防治措施來避免用戶遭受一系列已知安全漏洞的攻擊等。

目前，F(xiàn)TC還沒有明確表示是否會(huì)對(duì)有類似問題的公司提起訴訟。

　　職權(quán)范圍之爭

不過D-Link似乎并不買賬：D-Link拒絕承認(rèn)FTC的指控，并且表示會(huì)“對(duì)此采取進(jìn)一步措施（taking steps to defend the action）”。事實(shí)上，不只D-Link，數(shù)量眾多的物聯(lián)網(wǎng)設(shè)備公司都存在糟糕的安全問題。安全專家一直在建議美國政府出臺(tái)強(qiáng)硬的行業(yè)安全條例來規(guī)范廠商的行為。而面對(duì)近些年日益嚴(yán)峻的IoT威脅態(tài)勢，F(xiàn)TC所采取的手段也愈發(fā)強(qiáng)硬。在此之前，F(xiàn)TC就曾起訴過華碩和TRENDnet，并最終與華碩達(dá)成和解。然而，D-Link針對(duì)本次指控的強(qiáng)烈否認(rèn)卻引發(fā)了人們另一層面的思考：FTC的監(jiān)管是否過于寬泛和嚴(yán)格？

部分業(yè)內(nèi)人士對(duì)FTC的做法表示了質(zhì)疑。Errata Security（美國網(wǎng)絡(luò)安全公司）CEO，Robert Graham認(rèn)為，“對(duì)于FTC而言，無論你是D-Link，微軟，還是思科，只要你承諾自身產(chǎn)品的安全性但又沒能及時(shí)，完整地公布安全漏洞，就會(huì)遭到指控。而絕對(duì)的安全是不可能的，F(xiàn)TC的標(biāo)準(zhǔn)顯然過于霸道了。”

而來自Frankfurt Kurnit Klein&Selz法律事務(wù)所的Jeremy Goldman的分析或多或少印證了Robert的觀點(diǎn)，“目前美國沒有相關(guān)法律規(guī)定這些網(wǎng)絡(luò)設(shè)備所要具備的最低安全標(biāo)準(zhǔn)是怎樣的。FTC此舉在向眾多物聯(lián)網(wǎng)設(shè)備廠商傳遞一個(gè)強(qiáng)硬信號(hào)的同時(shí)，也以保護(hù)消費(fèi)者安全的名義嘗試建立一些新的標(biāo)準(zhǔn)。”他說，“訴訟的關(guān)鍵在于，F(xiàn)TC要向聯(lián)邦法院證明D-Link的網(wǎng)絡(luò)設(shè)備已經(jīng)給消費(fèi)者造成實(shí)質(zhì)損失，或至少是極可能帶來嚴(yán)重后果的。”