转载

因在亚马逊上给差评，这位安全研究人员遭到中国厂商威胁

对一般的亚马逊购物者来说，商品评论只是购物体验中比较随意的一部分。你可能注意到了乔治·武井（George Take）写满双关语的评论，或者会花半小时一边查看关于“ 新鲜兔肉 ”的戏谑评论一边开怀大笑，但你在购买商品之前可能不会仔细查看每一则评论。

但对卖家来说，评论就不是能够一笑置之的东西了。有时候，亚马逊零售商为了保证好评会不择手段，对此安全研究人员马修·加勒特（Matthew Garrett）最近有了亲身体会，因为他给一个联网电源插座留下了一星评价。在加勒特礼貌地指出这款插座不太安全之后，他收到了来自制造商的电子邮件，称他的差评将导致员工遭到解雇，其他评论者正请愿让亚马逊删掉他的差评。

这次事件的焦点是 AuYou 网络插座，这款产品售价 30 美元，可以让用户使用手机开启或关闭壁装插座的电源。如果你不想花钱购买智能灯泡，这倒是一种开关照明设备的不错方式，而且你也能用它来控制其他插电设备。不管你是否在家，你都能使用 AuYou 插座——因此，即使你仍然身在办公室，你也能遥控自己公寓里的灯。

不过，就像很多物联网设备一样，AuYou 插座似乎存在一个严重的安全漏洞。正如加勒特在其评论中解释的，如果你手机连接的是家里的 Wi-Fi 网络，那么它会直接把开/关指令发送给插座。但如果你不在家里，手机会先把指令发送到位于中国的一台服务器，然后再由它转发给插座。

“那些指令数据包看似经过加密，但其实并不是真正的加密。”加勒特在自己的评论中解释道。

其结果是，你所用插座的唯一网络 ID 是以未加密形式传输给中国服务器的——这样，掌握了那个 ID 的人就能控制对应的插座。为了避免自己的插座被黑客入侵，加勒特唯一能做的就是屏蔽那台服务器。然而，这样做会让所有人（包括他自己）再也无法远程控制 AuYou 插座。

“如果有人知道了你插座的 MAC 地址，那么他们将可以在世界任何地方控制它。你无法通过设置密码阻止他们，而一般的家用路由器设置也无法起到屏蔽效果。你需要单独地屏蔽那台服务器（地址为 115.28.45.50），这样才能保护自己。此外，期待普通家庭用户做到这些是不现实的。而且，如果你进行了这样的屏蔽，你也就完全失去了在外面远程控制设备的能力。”加勒特在评论中解释道。

联网插座被黑客入侵，这倒不完全是什么网络安全噩梦——在最糟糕的情况中，你可能会遇上一位黑客反复地开关你的灯，就像在开一场闪光灯派对。还有一种比较小的可能性是，反复断电可能会造成设备损坏。不过，这并不是什么世界末日，它只是一种愚蠢的安全漏洞。

这使得制造商的激烈反应显得更加不同寻常。加勒特给我发来了一些来自该制造商的电子邮件。

“刚才我的老板责怪我，他说如果我不能删除这个差评，他就要解雇我。请帮帮我。”制造商的代表写道，“能不能请你把差评改成好评？”

加勒特回应称，如果制造商修复了这个漏洞，他就会修改自己的评论。而 AuYou 的代表坚称，如果评论没有修改，她就会被炒鱿鱼。一周之后，这位代表再次来信，请求加勒特删除差评。她随后说，如果加勒特不删除差评，她就要向亚马逊举报，而且其他评论者也要写信进行投诉。

加勒特说，他在亚马逊上发表过很多关于安全问题的评论，但从来没有遇到过这种事情。当然，没人应该因为一则亚马逊上的评论而丢掉工作。加勒特说，他不确定自己是遭到了欺骗还是真有人饭碗不保。

“如果我觉得真有人会因为我写的东西而丢掉工作，我会重新考虑的。”他说，“另一方面，就其本身而论，很多公司这种不关心用户安全的态度是非常可怕的。让人们在挑选这类设备时搞清楚状况，这是很重要的。”

道理站在加勒特这一边：当安全研究人员向用户告知流行物联网产品的安全漏洞时，他们是在做惠及大众的好事。亚马逊是这类注意事项的天然交流中心，研究人员不应该因为发布诚实的安全评论而受到威胁。

TechCrunch 已经联系亚马逊就如何调解买卖双方之间的分歧置评，但亚马逊以客户隐私为由拒绝发表评论。亚马逊此前曾打击过那些花钱买好评的卖家，也封禁过因差评起诉评论者的卖家账号。

翻译：王灿均（@何无鱼）

Security researcher gets threats over Amazon review

原文 http://techcrunch.cn/2016/07/07/security-researcher-gets-threats-over-amazon-review/

正文到此结束