加勒特為所購插座寫了一篇近800字的反饋文章。
Garrett給出差評的AuYou牌WiFi控制、無線智慧電源插座。
加勒特在推特上發帖稱自己已經收到三封郵件,應為廠商請求他刪除評論,不然他們就會被解僱。
加勒特隨後一條推文:又收到一封郵件,說如果我不刪除評論,他們就要向亞馬遜投訴我。
美國一位安全開發員Matthew Garrett於6月在亞馬遜美國網站上購買了一款產品並給予一星差評後,遭到了中國廠商銷售人員的騷擾。
其推特個人資料顯示,加勒特(Garrett)的身份是CoreOS Linux的一名安全開發人員。他除了給所購商品打了一星的超低分(滿分五星),還洋洋灑灑地寫了一篇近800字的評論,主要從專業角度分析了插座的安全漏洞等問題,措辭中並無謾罵之語。
加勒特購買的是一款AuYou牌可連線網路的電源插座,這款產品售價30美元,可以讓使用者使用手機開啟或關閉壁裝插座的電源,可以用它來控制各種插電裝置。也就是說,不管你是否在家,都能透過手機等移動裝置連線這款插座,從而控制連線在插座上的燈或其他家用電器。
這聽起來很美好,但加勒特在評論文章中就質疑了這款物聯網裝置的安全性。
其在評論中解釋,如果你手機連線的是家裡的Wi-Fi網路,那麼它會直接把開關指令傳送給插座。但如果你不在家裡,手機就會先把指令傳送到位於中國的一臺伺服器,然後再由它轉發給插座。
“那些指令資料包看似經過加密,但其實並不是真正的加密。”身為安全開發者的加勒特在評論中寫道,結果就是,你所用插座的唯一網路ID是以未加密形式傳輸給中國伺服器的。掌握了那個ID的人就能控制相對應的插座。
要想完全避免自己的插座被駭客入侵,你只能遮蔽那臺伺服器。然而,這樣做會讓所有人(包括他自己)再也無法遠端控制AuYou插座。這在加勒特看來就是一個漏洞。
加勒特進一步解釋道:“如果有人知道了你插座的MAC地址,那麼他們將可以在世界任何地方控制它。你無法透過設定密碼阻止他們,而一般的家用路由器設定也無法起到遮蔽效果。你需要單獨地遮蔽那臺伺服器才能保護自己。此外,期待普通家庭使用者做到這些是不現實的。而且,如果你進行了這樣的遮蔽,你也就完全失去了在外面遠端控制裝置的能力。”
加勒特的觀點,引發中國商家銷售人員的激烈反應。
加勒特轉發給科技網站TechCrunch的一封郵件中,提到了這名中國商家銷售人員的請求:“剛才我的老闆責怪我,他說如果我不能刪除這個差評,他就要解僱我。請幫幫我。能不能請你把差評改成好評?”
加勒特對此的回應是,如果製造商修復了這個漏洞,他就會修改自己的評論。而AuYou的代表堅稱,如果評論沒有修改,其就會被辭退。一週之後,這位代表再次來信,請求加勒特刪除差評,並威脅說,如果加勒特不刪除差評,其就要向亞馬遜舉報,而且其他評論賬號也要寫信進行投訴。
加勒特表示,他在亞馬遜上發表過很多關於安全問題的評論,但從來沒有遇到過這種事。
“如果真有人會因為我寫的東西而丟掉工作,我會重新考慮的。”加勒特向TechCrunch表示,“另一方面,就其本身而言,很多公司這種不關心使用者安全的態度是非常可怕的。讓人們在挑選這類裝置時搞清楚狀況也很重要。”