亚马逊在去年耗资10亿美元，收购美国智能门铃公司Ring。这是一款黑白相间的长方形小盒子，上半部分为红外线相机、运动传感器、麦克风和扬声器，下半部分则是门铃，同时内部集成电池，可实现一年的续航力，另外还可通过mini USB数据线进行充电。当有访客在门前出现时，Ring的运动传感器便会检测到，拍摄40秒视频并上传至云端（云空间需另外付费），而访客按下门铃时，用户也可通过Ring的摄像头查看到来者何人，并进行通话。

在最近推送的一个补丁中，亚马逊旗下的智能门铃企业 Ring，修复了自家产品中的一个安全隐患 —— 因黑客可借助该漏洞发起攻击，将虚假的图像内容注入到视频源中。需要指出的是，尽管Ring 会定期发布修复固件，但那些使用旧版 Ring 应用程序的客户，仍有暴露于这方面的风险。

在一份报告中，BullGuardat Dojo 的安全研究人员披露了有关该漏洞的详细信息。其支出，借助适当的技术手段，任何有权访问传入数据包的人，都可以收听到实时的反馈。

问题在于，Ring 所采用的方案，并未引用强加密。那些能够访问目标 Wi-Fi 的黑客，甚至可以在数据到达 App 端之前，就将虚假内容注入到消息流中。

举个极端点的例子，狡猾的攻击者能够利用该漏洞，向房主发送经过篡改的图像，以欺骗其打开门锁。当然，这并不是我们首次听说有关 Ring 设备的安全漏洞。

2017 年 3 月，一些用户发现，他们的 Ring 门铃正在向搜索引擎巨头百度运营的中国服务器发送数据。

2018年 5 月，The Information 还报道了 Ring 允许密码修改，但不强制用户退出并重新登陆。

今年1月11日，据英国TheIntercept 网站报道，亚马逊旗下的智能门铃公司Ring允许员工观看由门铃摄像头拍摄的用户生活视频。而Ring的工程师和高管们则可以看到一些用户“未经处理的全天候”视频。员工可在公司服务器上共享这些未加密视频，其中包括来自用户家门外的视频，有时也包括用户家中的视频。此外，还有一个数据库可以将每个视频文件链接到其所属的特定客户。而员工只需要知道该用户的电子邮箱地址，就可以查看该用户家中的Ring拍摄的所有视频文件。一直以来，用户对此毫不知情。

1、尽量选购不会被轻易拆卸的产品，最好是主机和摄像头分离，主机在门内，摄像头和门铃在门外，这样就不会轻易被黑客拿到主机实施攻击。

2、选购智能门铃不要只看设备本身，还要看配套的云端服务是否稳定，安全。

3、家庭WiFi网络最好划分专门的访客网络，使用不同的密码，供那些乱八七糟的智能设备使用。

4、智能门铃通常离WiFi路由器比较远，信号比较差的时候会影响视频传输质量和门铃电池续航时间，建议搭配购买一个WiFi无线扩展器或者信号放大器。

参考来源：

• cnBeta.COM

• 腾讯视频

• 24ker

征题正在火热进行中！

（晋级赛Q1即将于3月10日开启，敬请期待！）

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com