消委會
2023-03-16 04:30:43
日報

消委會測10款家用監控鏡頭 9款易洩私隱 1款登出仍見實時影像

分享:
消委會 家用監控鏡頭

消委會測10款家用監控鏡頭 9款易洩私隱 1款登出仍見實時影像

家中有小孩、長者或寵物又不放心,不少人都會安裝家用監控鏡頭,惟個人私隱安全問題惹來關注。消委會測試市面10款家用監控鏡頭,結果只有1款產品符合歐洲的網絡安全標準,其餘9款都存在網絡安全漏洞,例如未能防禦黑客的「暴力攻擊」、傳送資料時沒有加密等。此外監控鏡頭的應用程式亦有待改善,全部樣本儲存用戶資料均沒有加密,有私隱外洩風險,當中一款,用家登出帳戶後,仍可看到鏡頭拍攝的實時影像。攝影:李睿哲

消委會委託獨立實驗室按歐洲及工業標準,測試市面10款售價介乎269至1,888元的家用監控鏡頭。測試結果發現,10款家用監控鏡頭中只有售價為1,888元「arlo」牌的家居監控鏡頭符合歐洲的網絡安全標準;其餘品牌包括「小米Mi」、「imou」、「TP-Link」、「BotsLab」、「eufy」、「SpotCam」、「EZVIZ」、「reolink」及「D-Link」的樣本均出現不同的網絡安全問題。

消委會 家用監控鏡頭

消委會測10款家用監控鏡頭

5款鏡頭傳送影像或資料沒加密

監控鏡頭會直接將所拍的實時動態影像,串流至流動裝置。消委會發現5款樣本沒有加密傳送,其中「imou」、「TP-Link」、「EZVIZ」及「D-Link」只採用「即時傳輸協定」(RTP),有機會受到「中間人攻擊」,黑客可輕易窺探影片內容。至於「reolink」連接用家的WiFi無線網絡時,沒有作身份驗證,只用「超文本傳輸協定」(HTTP)傳送資料,黑客可從普通文字檔找到路由器的帳戶資料,存有外洩風險;當中「reolink」在登出帳戶後,仍可看到鏡頭拍攝的實時影像。

預設密碼太簡單黑客易入侵

測試亦發現3款樣本,黑客只要用自動化工具及程式,透過「暴力攻擊」就可以破解密碼,竊取影片,其中兩款由於密碼組合過於簡單,如僅有六位數字或字母;另一款就在用戶用手機應用程式登入時,黑客可不斷重複嘗試以竊取資料。此外,監控鏡頭的用戶每次登入時均要使用「對話金鑰」,它就如臨時密碼,用以加密及解密傳送的資料,應在中斷連接後失效。但消委會發現3款鏡頭,重新登入時,用於上一次連接的對話金鑰仍然有效,若黑客偷取舊對話金鑰,即可連接鏡頭,偷窺室內影像。

adblk6
adblk7
消委會

選購及使用家居監控鏡頭錦囊 (資料來源:消委會)

5款手機應用程式存取過多權限

測試結果亦顯示,全部樣本儲存資料時安全性不足,例如是電郵地址、帳戶名稱等,均存取在普通文字檔,未有用加密技術保護。5款監控鏡頭的手機應用程式存取過多權限,如會讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,令手機內的資料有機會外洩。

促政府訂物聯網裝置安全標準

消委會研究及試驗小組副主席雷永昌指,歐美多國及新加坡等地,都已經推出物聯網裝置網絡安全標籤認證,建議港府可參考,推出規管計劃或標準。消委會總幹事黃鳳嫺建議,市民有需要時才開啟和連接鏡頭,用完就關掉,亦不要用公共WiFi連接登入,連接鏡頭。此外,消費者不應購買沒有品牌或來歷不明的產品,安裝裝置後應立即更改密碼,而建立帳戶密碼時應有足夠強度及定期更改密碼。

adblk8

立即更新/下載AM730手機APP 體驗升級功能

全新會員積分獎賞計劃 打開App進入會員專區體驗升級功能