美國FTC指控友訊科技之網路產品忽略告知網路安全風險

關鍵字：；；；；；；

瀏覽次數：3162｜歡迎推文：

科技產業資訊室 (iKnow) - 朱子亮發表於 2017年2月15日

圖、美國FTC指控台灣廠商友訊科技之網路產品存在網路安全風險

隨著越來越多消費電子產品設備具備網路連接功能，美國監管機構在消費者資訊安全保障議題上採取更積極之執法態度。2017年1月5日，美國聯邦貿易委員會（Federal Trade Commission；FTC）在美國加州北區聯邦地方法院，對台灣網路設備製造大廠友訊科技（D-Link）發起行政訴訟，指控友訊未能採取合理措施保護網路路由器及網路監視器、攝影機等產品設備免於未經授權存取等常見之網路安全攻擊，致使產品消費者在私人財務訊息、對話或活動等重要隱私保護上存在風險。針對FTC指控，友訊方面已發佈新聞稿表示該項指控毫無根據，並將據理力爭，捍衛自身權益。

FTC訴狀描述，友訊被指控未能採取適當措施解決自家網路產品，特別於易於防範之網路安全漏洞（well-known and easily preventable security flaws），包括由「開放式網路安全計畫」（OWASP）所公佈、自2007年來網路上常見及重要之幾個網路應用軟體安全弱點，例如：

1. 將用戶登錄憑證（使用者名稱及帳密）整合到友訊攝像機軟體中，致使外界容易未經授權存取該攝像機活動資料；
2. 友訊軟體程式存在俗稱「命令注入」（command injection）之安全漏洞，致使網路遠端攻擊者可藉此接管用戶端之路由器；
3. 友訊在公開網站上展示其軟體私密金鑰（private key）達6個月時間，前述作法，可能導致駭客利用密鑰來欺騙用戶端電腦接收執行惡意程式；
4. 允許行動裝置應用程式的用戶登錄憑據被保留在前述行動裝置上之清晰可讀文本中，而未透過其他程式確保前述憑據不受外界竊取。

OWASP（Open Web Application Security Project）是一個跨國性質開放社群及非營利組織，主要目標是研議協助解決網路軟體安全之標準、工具與技術文件，並致力協助政府或企業瞭解並改善應用程式之網路安全問題。對此，FTC曾經特別建議所有公司企業務必遵循OWASP所發佈之網路安全弱點防護守則。

此次調查，主要涉及美國聯邦貿易委員會法第45條第n款規定（15 U.S.C. § 45 (n)），其中說明FTC有權就「可能導致美國消費者遭受重大損害」（causes or is likely to cause substantial injury to consumers）之行為採取法律行動。

友訊提出反駁，指出FTC未能舉出美國消費者或友訊網路設備蒙受網路攻擊損害之實際個案，但FTC仍選擇在未就實際損害情形進行舉證下，對友訊發起行政訴訟。此一類似「莫須有」標準之爭議，已成為目前美國第11巡迴上訴法院LabMD, Inc. v. Federal Trade Commission 一案（Case No. 2016-16270）之攻防焦點。鑒於2016年11月上訴法院在該案中，已對FTC無具體事證認定方及相關法律解釋立場表示質疑，並暫停執行FTC同意命令，未來若上訴法院判決認定FTC「莫須有」認定方式為不合理，則友訊方面將有機會要求地院駁回此次FTC行政訴訟。

結語

近年來FTC針對網路設備製造商之第三起調查案例。第一件是2014年針對美國網路設備製造大廠TRENDnet；第二件是2016年針對台灣消費電子產品大廠華碩電腦（ASUSTek）；第三件就是友訊案。三案之共同點在於當事人皆在產品手冊和其他涉及隱私權規範之公開聲明中，向產品消費者提出不實之網路安全保證，例如FTC在訴狀中說明，友訊已在其多項產品之書面手冊中，向消費者提出等「易於保護」及「高級網路安全」等口號聲明，保證其產品設備已就網路安全風險做出適當因應，對此，FTC要求友訊方面採取確實必要步驟，來保護其產品免受駭客攻擊。

FTC主要任務之一為促進美國國內消費者權益保護，並負責執法工作。FTC一方面受理企業公司、消費者或大眾媒體申告，亦可主動發起調查。倘若初步調查結果，認定當事人行為違法或違反公共利益，FTC將透過要求簽署同意命令或發起行政訴訟等方式，來糾正當事人行為。

在美國販售網際網路相關設備之台灣網通業者，趕緊檢查自家發出的使用者手冊是否符合網路安全保障議題保持充分警惕，並應參酌OWASP、美國國家標準技術研究所（NIST）以及FTC所發布之要點指南等資源（參見以下參考資料連結），來瞭解美國在地最新網路安全實踐要點。倘若未能在網路安全問題上充分保障消費者權益之網路設備公司，恐易招致FTC監管調查。(1372字；圖1)

參考資料
1. FTC Complaint
2. FTC Charges D-Link Put Consumers’ Privacy at Risk Due to the Inadequate Security of Its Computer Routers and Cameras
3. D-Link Responds to FTC Charges
4. In the Matter of TRENDnet, Inc.
5. In the Matter of ASUSTeK Computer Inc.
6. In the Matter of LabMD, Inc.
7. Court Grants LabMD a 'Stay' of FTC Consent Order, November 11, 2016
8. OWASP、NIST及FTC所發布之要點指南等
9. FTC Report on Internet of Things Urges Companies to Adopt Best Practices to Address Consumer Privacy and Security Risks
10. OWASP Top Ten Project
11. National Institute of Standards and Technology（NIST）- Cybersecurity

本站相關文章:

歡迎來粉絲團按讚！

--------------------------------------------------------------------------------------------------------------------------------------------