消委会评测10款家用监控镜头,九成存漏洞,$269小米评分第2(附5大安全贴士)

2023-03-15 15:07

【消委会/监控镜头/IP Cam】“智能家居”近年愈趋普及,不少家庭都会安装家用监控镜头(IP Cam),被视为保障家居安全的智能装置。而当中网络安全尤为重要,否则影像及个人敏感资料便有可能外泄构成私隐等安全风险。消委会今日(15日)发表报告指,测试了市面上10款家用监控镜头的网络安全,发现只有1款符合欧洲网络安全标准,其余9款均有不同程度的网络安全隐患。

消委会评测10款IP Cam

1. arlo

2. 小米

3.imou

4.TP-Link

5.BotsLab

6.eufy

7.SpotCam

8.EZVIZ

9.reolink

10.D-Link

▲测试的 10 款家居监控镜头样本,售价介乎$269 至$1,888。消委会提供

▲全部样本均提供双向语音对话、移动侦测、夜视、Amazon Alexa 及 Google Assistant 语音控制等功能。消委会提供

▲10 款家居监控镜头样本的比较一览图。消委会月刊截图

小米IP Cam价钱最平 评分排第2

是次测试的10款家居监控镜头样本,包括arlo、小米、imou、TP-Link、BotsLab、eufy、SpotCam、EZVIZ、reolink,以及D-Link, 售价介乎$269至$1,888。全部样本均提供双向语音对话、移动侦测、夜视、Amazon Alexa 及 Google Assistant语音控制等功能。当中9款的安全隐患包括没有以加密方式传送影像和资料、未能防御骇客以“暴力攻击”(brute force attack)方式破解密码等。

另外,监控镜头的应用程式在储存用户资料方面安全度不足,当中半数样本可透过Android版本应用程式存取用户装置中的档案,而部分应用程式存取的权限亦过多,包括会读取装置上的行事历、帐户资料、用户正在使用的应用程式等,装置内的资料有机会外泄。

此外报告指出,小米“智能摄影机2K云台版”MJSXJ09CM镜头,零售价约为$269,是10款中最便宜,但获得的总评却是第二高,防攻击能力、资料传送安全性亦是各款中最佳。

5款IP Cam传送影像或资料没加密 骇客易窃探

测试发现,其中4款样本(imou、TP-Link、EZVIZ、D-Link )在传输影像时,没有使用可提供数据加密和讯息认证的“安全即时传输协定”(SRTP),只采用安全性较低的“即时传输协定”(RTP),过程中没有将影片数据加密,传送途中有机会受到骇客攻击,能轻易窥探影片内容。

另外1款样本(reolink)连接用家Wi-Fi时,使用“超文本传输协定”(HTTP)传送资料,没有把敏感资料加密,骇客可以从普通文字档找到路由器的帐户资料。若生产商改用安全性较高的“超文本传输安全协定”(HTTPS),可为用户提供更大的私隐保障。

骇客透过“暴力攻击”破解密码 6位数密码易被破解

测试发现,有3款样本(eufy、EZVIZ、D-Link)在进行实时动态影像串流时,骇客可透过自动化工具和程式展开“暴力攻击”,透过试误法(Trial & Error)反复试验所有可能的密码组合,试图破解密码。

当中有 2 款(EZVIZ、D-Link)的预设密码只有 6 位数字或字母,强度非常低,较容易让骇客破解,而窃取影片。另外,当使用“ SpotsCam”的手机应用程式登入帐户时,骇客可“无限制”地不断重复尝试以窃取帐户资料。

3款IP Cam重新登入时旧有金钥仍有效

测试结果发现其中3款样本(BotsLab、SpotCam、reolink)在重新登入连接镜头时,用于上一次连接的对话金钥仍然有效,假如骇客成功偷取旧的对话金钥,即可连接镜头,偷窥室内影像。

当中有1款(reolink)更可于同一手机内的应用程式登出帐户或登入另一个帐户后,仍然可以看到监控镜头拍摄所得的实时影像,存在安全漏洞。

IP Cam应用程式储存资料安全度不足

部分监控镜头的应用程式内嵌浏览器,让用户可直接浏览网页,但其中 5 款样本(imou、TP-Link、eufy、EZVIZ、D-Link)Android 版本的内嵌浏览器没有封锁存取档案的权限,骇客可透过植入程式码存取装置内的档案。

另有5款样本(小米、imou、BotsLab、eufy、EZVIZ)的手机应用程式存取过多权限,部分样本存取的资料较为敏感,例如会读取装置上的行事历、帐户资料、用户正在使用的应用程式等,装置内的资料有机会外泄。

消委会IP Cam5大安全建议

1、不应购买没有品牌或来历不明的产品,不但品质没有保证,网络安全亦未必完善。

2、建立帐户时密码应有足够强度,以及定期更改,防止被轻易破解。

3、应善用防火墙、网络监察及活动纪录等功能,经常查看纪录以侦测可疑活动。

4、应避免使用公共无线网络 Wi-Fi 进行监控,以免帐户资料被记录及盗取。

5、应不时检查及更新韧体(firmware),以保持产品良好运作及修补安全漏洞。

消委会提醒用家:须知会所有佣工、访客装有镜头

消委会促请生产商改善产品的网络安全,例如加入防御暴力攻击的设计及为影片及资料进行数据密。消费者为监控镜头设定密码时亦要有足够强度并且定期更改,以及善用防火墙及网络监察等功能。

消委会亦提醒,根据私隐专员公署的指引,消费者若在家中安装监控镜头,应知会包括家庭佣工在内的家中所有成员及访客,亦须考虑监察的范围和程度,并告知雇员有关监察活动的公开性、以及妥善处理摄录纪录的方法等。

以上内容归星岛新闻集团所有,未经许可不得擅自转载引用。

相关阅读