【消委會/監控鏡頭/IP Cam】“智能家居”近年愈趨普及,不少家庭都會安裝家用監控鏡頭(IP Cam),被視為保障家居安全的智能裝置。而當中網絡安全尤為重要,否則影像及個人敏感資料便有可能外泄構成私隱等安全風險。消委會今日(15日)發表報告指,測試了市面上10款家用監控鏡頭的網絡安全,發現只有1款符合歐洲網絡安全標準,其余9款均有不同程度的網絡安全隱患。
消委會評測10款IP Cam
1. arlo
2. 小米
3.imou
4.TP-Link
5.BotsLab
6.eufy
7.SpotCam
8.EZVIZ
9.reolink
10.D-Link
▲測試的 10 款家居監控鏡頭樣本,售價介乎$269 至$1,888。消委會提供
▲全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及 Google Assistant 語音控制等功能。消委會提供
▲10 款家居監控鏡頭樣本的比較一覽圖。消委會月刊截圖
小米IP Cam價錢最平 評分排第2
是次測試的10款家居監控鏡頭樣本,包括arlo、小米、imou、TP-Link、BotsLab、eufy、SpotCam、EZVIZ、reolink,以及D-Link, 售價介乎$269至$1,888。全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及 Google Assistant語音控制等功能。當中9款的安全隱患包括沒有以加密方式傳送影像和資料、未能防御駭客以“暴力攻擊”(brute force attack)方式破解密碼等。
另外,監控鏡頭的應用程式在儲存用戶資料方面安全度不足,當中半數樣本可透過Android版本應用程式存取用戶裝置中的檔案,而部分應用程式存取的權限亦過多,包括會讀取裝置上的行事歷、帳戶資料、用戶正在使用的應用程式等,裝置內的資料有機會外泄。
此外報告指出,小米“智能攝影機2K云臺版”MJSXJ09CM鏡頭,零售價約為$269,是10款中最便宜,但獲得的總評卻是第二高,防攻擊能力、資料傳送安全性亦是各款中最佳。
5款IP Cam傳送影像或資料沒加密 駭客易竊探
測試發現,其中4款樣本(imou、TP-Link、EZVIZ、D-Link )在傳輸影像時,沒有使用可提供數據加密和訊息認證的“安全即時傳輸協定”(SRTP),只采用安全性較低的“即時傳輸協定”(RTP),過程中沒有將影片數據加密,傳送途中有機會受到駭客攻擊,能輕易窺探影片內容。
另外1款樣本(reolink)連接用家Wi-Fi時,使用“超文本傳輸協定”(HTTP)傳送資料,沒有把敏感資料加密,駭客可以從普通文字檔找到路由器的帳戶資料。若生產商改用安全性較高的“超文本傳輸安全協定”(HTTPS),可為用戶提供更大的私隱保障。
駭客透過“暴力攻擊”破解密碼 6位數密碼易被破解
測試發現,有3款樣本(eufy、EZVIZ、D-Link)在進行實時動態影像串流時,駭客可透過自動化工具和程式展開“暴力攻擊”,透過試誤法(Trial & Error)反復試驗所有可能的密碼組合,試圖破解密碼。
當中有 2 款(EZVIZ、D-Link)的預設密碼只有 6 位數字或字母,強度非常低,較容易讓駭客破解,而竊取影片。另外,當使用“ SpotsCam”的手機應用程式登入帳戶時,駭客可“無限制”地不斷重復嘗試以竊取帳戶資料。
3款IP Cam重新登入時舊有金鑰仍有效
測試結果發現其中3款樣本(BotsLab、SpotCam、reolink)在重新登入連接鏡頭時,用于上一次連接的對話金鑰仍然有效,假如駭客成功偷取舊的對話金鑰,即可連接鏡頭,偷窺室內影像。
當中有1款(reolink)更可于同一手機內的應用程式登出帳戶或登入另一個帳戶后,仍然可以看到監控鏡頭拍攝所得的實時影像,存在安全漏洞。
IP Cam應用程式儲存資料安全度不足
部分監控鏡頭的應用程式內嵌瀏覽器,讓用戶可直接瀏覽網頁,但其中 5 款樣本(imou、TP-Link、eufy、EZVIZ、D-Link)Android 版本的內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可透過植入程式碼存取裝置內的檔案。
另有5款樣本(小米、imou、BotsLab、eufy、EZVIZ)的手機應用程式存取過多權限,部分樣本存取的資料較為敏感,例如會讀取裝置上的行事歷、帳戶資料、用戶正在使用的應用程式等,裝置內的資料有機會外泄。
消委會IP Cam5大安全建議
1、不應購買沒有品牌或來歷不明的產品,不但品質沒有保證,網絡安全亦未必完善。
2、建立帳戶時密碼應有足夠強度,以及定期更改,防止被輕易破解。
3、應善用防火墻、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。
4、應避免使用公共無線網絡 Wi-Fi 進行監控,以免帳戶資料被記錄及盜取。
5、應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞。
消委會提醒用家:須知會所有傭工、訪客裝有鏡頭
消委會促請生產商改善產品的網絡安全,例如加入防御暴力攻擊的設計及為影片及資料進行數據密。消費者為監控鏡頭設定密碼時亦要有足夠強度并且定期更改,以及善用防火墻及網絡監察等功能。
消委會亦提醒,根據私隱專員公署的指引,消費者若在家中安裝監控鏡頭,應知會包括家庭傭工在內的家中所有成員及訪客,亦須考慮監察的范圍和程度,并告知雇員有關監察活動的公開性、以及妥善處理攝錄紀錄的方法等。
以上內容歸星島新聞集團所有,未經許可不得擅自轉載引用。
