現時不少家庭都會安裝家用監控鏡頭,惟個人私隱安全問題惹來關注。消委會測試市面上10款家用監控鏡頭的網絡安全,發現僅1款樣本符合歐洲網絡安全標準,其餘9款(九成)均有不同的網絡安全隱患,包括沒有以加密方式傳送影像和資料、儲存用戶資料安全度不足,及未能防禦駭客以「暴力攻擊」方式破解密碼等。消委會建議港府參考不同國家的做法,推出適合本港的物聯網裝置網絡安全標籤認證,並呼籲消費者不應購買沒有品牌或來歷不明的產品等。
消委會委託獨立實驗室參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS測試市面10款家居監控鏡頭的網絡安全表現,包括防攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計。各樣本的售價由269元至1,888元,全部提供雙向語音對話、移動偵測、夜視、Amazon Alexa及Google Assistant語音控制等功能。
「reolink」存網絡安全漏洞
測試結果發現,10款家用監控鏡頭中,僅售價為1,888元「arlo」牌的家居監控鏡頭符合歐洲網絡安全標準,其防攻擊能力、資料傳送安全性等都獲5分最高分;而其餘品牌包括「小米Mi」、「imou」、「TP-Link」、「BotsLab」、「eufy」、「SpotCam」、「EZVIZ」、「reolink」及「D-Link」的樣本均出現不同的網絡安全問題。
其中,消委會指「reolink」在同一手機內的應用程式,即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像,裝置存在網絡安全漏洞。
5款鏡頭傳送影像或資料沒加密 駭客易竊探
測試又發現,有5款樣本沒有加密傳送,其中「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用「即時傳輸協定」(Real-time Transport Protocol)來進行實時動態影像串流,沒有把影片數據進行加密,有機會受到「中間人攻擊」,駭客可輕易窺探影片內容;至於「reolink」透過mysimplelink服務連接用家的Wi-Fi無線網絡時,沒有進行身分驗證,只使用「超文本傳輸協定」(HTTPl)傳送資料,沒有把敏感資料加密,駭客可從普通文字檔找到路由器的帳戶資料,存有外洩風險。
3款鏡頭重新登入帳戶時 舊有對話金鑰仍有效
3款樣本,包括「BotsLab」、「SpotCam」及「reolink」在重新登入連接鏡頭時,用於上一次連接的對話金鑰仍然有效,若駭客成功偷取舊的對話金鑰,即可連接鏡頭,偷窺室內影像;另外,「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時,駭客可透過試誤法(trialanderror)等暴力攻擊,透過反覆試驗所有可能的密碼組合以獲得密碼。
同時,測試亦檢視了應用程式的Android及iOS版本所要求的權限,發現「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」Android版本的應用程式內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可植入程式碼以存取裝置檔案,令用戶私隱外洩;「小米Mi」、「imou」、「eufy」及「D-Li n k」iOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript,駭客可進行跨網站指令碼攻擊(Cross Site Scripting,簡稱XSS)。
消委會倡有需要時方啟動鏡頭
消委會表示,歐美多國及新加坡等地,都已經推出物聯網裝置網絡安全標籤認證,建議港府參考,推出相關標準推動物聯網安全,又建議消費者不應購買沒有品牌或來歷不明的產品,假如監控鏡頭由專人上門安裝及設置,安裝後應立即更改密碼,同時應在有需要時,才開啟應用程式及啟動鏡頭,完成後應把應用程式及鏡頭關掉等。