消委會測試|9成家用監控鏡頭有網絡安全隱患!易被駭客入侵、私隱影片外洩!邊款係唯一推薦?邊款問題最嚴重?(附詳細評分名單)
#打工仔 #安全隱患 #駭客 #Cam #消委會 #TP-Link #網絡安全 #EZVIZ #私隱外洩 #暴力攻擊 #XSS #消委會報告 #SpotCam #指令碼攻擊 #消委會測試 #eufy #存取檔案權限 #BotsLab #敏感資料 #超文本傳輸協定 #資料外洩 #家用監控鏡頭 #影片外洩 #HyperTextTransferProtocol #加密 #arlo #reolink #影片數據 #動態影像串流 #小米 #bruteforceattack #trialanderror #試誤法 #imou #拍攝 #Mi #D-Link #對話金鑰近年在家中安裝監控鏡頭大行其道,以方便外出工作的家人時刻關心留在家中的小孩、長者或寵物,又或者擔心家居發生意外時,家用監控鏡頭可隨時隨地透過智能裝置觀看家人的起居活動,儲存攝錄的影像,甚至可直接與家人隔空對話。但你曾想過,監控鏡頭所存在的網絡安全隱患呢?消委會就測試了市面上10款家用監控鏡頭的網絡安全,結果發現9款家用監控鏡頭都不同的網絡安全問題!
網上圖片
注意!「reolink」網絡安全問題最嚴重!
消委會測試市面上10款家用監控鏡頭,售價由269元至1,888元,全部都提供雙向語音對話、移動偵測、夜視、AmazonAlexa及GoogleAssistant語音控制等功能。
測試結果發現,10款家用監控鏡頭中只有售價為1,888元「arlo」的家居監控鏡頭符合歐洲的網絡安全標準,其防攻擊能力、資料傳送安全性等都獲5分最高分。而其餘品牌包括「小米Mi」、「imou」、「TP-Link」、「BotsLab」、「eufy」、「SpotCam」、「EZVIZ」、「reolink」及「D-Link」的樣本均出現不同的網絡安全問題。
消委會圖片
值得留意的是,消委會發現「reolink」的網絡安全問題是最嚴重。當其手機內應用程式即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像,裝置存在網絡安全漏洞。
Reolink Argus 3 Pro(網上圖片)
3樣本終斷連接後「對話金鑰」仍有效!
消委會又指,在正常情況下,用戶每次登入連接鏡頭時均會使用新對話金鑰(sessionkey),以加密及解密互相傳送的資料及數據,當中斷連接後便會失效。惟測試發現「BotsLab」、「SpotCam」及「reolink」用於上一次連接的對話金鑰仍然有效,若駭客成功偷取舊有的對話金鑰,便可連接鏡頭。
另外,「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時,駭客可透過試誤法(trialanderror)等暴力攻擊(bruteforceattack),透過反覆試驗所有可能的密碼組合以獲得密碼。
BotsLab indoor cam pan & tilt P4-Pro (官網圖片)
測試還發現,「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用即時傳輸協定(Real-timeTransportProtocol)來進行實時動態影像串流,沒有把影片數據進行加密,有機會受到中間人攻擊(maninthemiddleattack),駭客可輕易窺探影片內容!另外,「reolink」透過mysimplelink服務連接用家的Wi-Fi無線網絡時,沒有進行身分驗證,只使用超文本傳輸協定(HyperTextTransferProtocol)傳送資料,沒有把敏感資料加密,駭客可從普通文字檔找到路由器的帳戶資料,存有洩風險。
網上圖片
沒有封鎖存取檔案權限=敏感資料會外洩
消委會亦指出,「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」Android版本的應用程式內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可植入程式碼以存取裝置檔案,令用戶私隱外洩。另外,「小米Mi」、「imou」、「eufy」及「D-Link」iOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript,駭客可進行跨網站指令碼攻擊(CrossSiteScripting,簡稱XSS)存取檔案位置。
小米智能攝影機2K雲台版(官網圖片)
測試同時檢視了應用程式的Android及iOS版本所要求的權限,發現「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」的應用程式存取權限過多,而當中部分樣本存取的資料亦較為敏感,例如讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,裝置內的敏感資料有機會因而外洩。
imou Knight Outdoor Smart Security camera(網上圖片)
家居監控鏡頭測試總評分:
4星:
arlo Pro 4|價錢:$1,888
3.5星:
小米智能攝影機2K雲台版|價錢:$269
3星:
imou Knight Outdoor Smart Security camera|價錢:$1,380
TP-Link 2K pan/Tilt home Security Wi-Fi camera tap C210|價錢:$319
BotsLab indoor cam pan & tilt P4-Pro|價錢:$598
Dufy outdoor cam pro T8441X|價錢:$899
2.5星:
SpotCam Wire-free FHD Security camera Solo 2|價錢:$1,270
2星:
EZVIZ smart home camera C6 2k+ CS-C6|價錢:$630
Reolink Argus 3 Pro |價錢:$959
D-link 2k QHD無線網路攝影機DCS-8350LH|價錢:$699
家用監控鏡頭選購及使用貼士
-消費者不應購買沒有品牌或來歷不明的產品,除了品質有保證外,網絡安全未必很完善。
-消費者於智能裝置的應用程式建立帳戶時,密碼應有足夠強度並定期更改。密碼的長度不應少於8位,並混合大小楷字母、數字及特殊符號來提高密碼強度,以防被駭客輕易破解。
-若監控鏡頭由專人上門安裝及設置,安裝後應立即更改密碼。
-消費者在有需要時,才開啟應用程式及啟動鏡頭,完成後建議把應用程式及鏡頭關掉。
網上圖片
-消費者應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。
-消費者應使用個人智能裝置登入鏡頭觀看畫面,不應用任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以防帳戶資料被暗中記錄及盜取。
-消費者應不時檢查及更新韌體(firmware),因生產商在產品出廠後會透過韌體改善產品的運作及修補漏洞,使用更安全。
-若懷疑鏡頭內部系統曾被入侵或植入程式,不妨重刷一次官方韌體及全機還原出廠狀態,重新安裝時亦可建立一個全新帳戶及密碼。