「智能家居」近年愈趨普及,不少家庭都會安裝家用監控鏡頭(IP Cam),被視為保障家居安全的智能裝置。而當中網絡安全尤為重要,否則影像及個人敏感資料便有可能外洩構成私隱等安全風險。消委會15日發表報告指,測試了市面上10款家用監控鏡頭的網絡安全,發現只有1款符合歐洲網絡安全標準,其餘9款均有不同程度的網絡安全隱患。
消委會評測10款IP Cam
arlo
小米
imou
TP-Link
BotsLab
eufy
SpotCam
EZVIZ
reolink
D-Link
消委會提醒用家5大網絡安全隱患。(消委會提供)
全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及 Google Assistant 語音控制等功能。(消委會提供)
是次測試的10款家居監控鏡頭樣本,包括arlo、小米、imou、TP-Link、BotsLab、eufy、SpotCam、EZVIZ、reolink,以及D-Link, 售價介乎$269至$1,888。全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及 Google Assistant語音控制等功能。當中9款的安全隱患包括沒有以加密方式傳送影像和資料、未能防禦駭客以「暴力攻擊」(brute force attack)方式破解密碼等。
點擊看圖輯
消委會評測10款IP Cam
arlo
小米
imou
TP-Link
BotsLab
eufy
SpotCam
EZVIZ
reolink
D-Link
消委會提醒用家5大網絡安全隱患。(消委會提供)
全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及 Google Assistant 語音控制等功能。(消委會提供)
10 款家居監控鏡頭樣本的比較一覽圖。(消委會月刊截圖)
消委會指9成不符歐洲網絡安全標準促生產商改善和加強監管。(消委會月刊截圖)
1)不應購買沒有品牌或來歷不明的產品,不但品質沒有保證,網絡安全亦未必完善。(消委會影片截圖)
2)建立帳戶時密碼應有足夠強度,以及定期更改,防止被輕易破解。(消委會影片截圖)
3)應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。(消委會影片截圖)
4)應避免使用公共無線網絡 Wi-Fi 進行監控,以免帳戶資料被記錄及盜取。(消委會影片截圖)
5)應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞。(消委會影片截圖)
測試的 10 款家居監控鏡頭樣本,售價介乎$269 至$1,888。(消委會提供)
10 款家居監控鏡頭樣本的比較一覽圖。(消委會月刊截圖)
消委會指9成不符歐洲網絡安全標準促生產商改善和加強監管。(消委會月刊截圖)
另外,監控鏡頭的應用程式在儲存用戶資料方面安全度不足,當中半數樣本可透過Android版本應用程式存取用戶裝置中的檔案,而部分應用程式存取的權限亦過多,包括會讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,裝置內的資料有機會外洩。
此外報告指出,小米「智能攝影機2K雲台版」MJSXJ09CM鏡頭,零售價約為$269,是10款中最便宜,但獲得的總評卻是第二高,防攻擊能力、資料傳送安全性亦是各款中最佳。
5款鏡頭傳送影像或資料沒加密 駭客易竊探
測試發現,其中4款樣本(imou、TP-Link、EZVIZ、D-Link )在傳輸影像時,沒有使用可提供數據加密和訊息認證的「安全即時傳輸協定」(SRTP),只採用安全性較低的「即時傳輸協定」(RTP),過程中沒有將影片數據加密,傳送途中有機會受到駭客攻擊,能輕易窺探影片內容。
另外1款樣本(reolink)連接用家Wi-Fi時,使用「超文本傳輸協定」(HTTP)傳送資料,沒有把敏感資料加密,駭客可以從普通文字檔找到路由器的帳戶資料。若生產商改用安全性較高的「超文本傳輸安全協定」(HTTPS),可為用戶提供更大的私隱保障。
駭客透過「暴力攻擊」破解密碼 6位數密碼易被破解
測試發現,有3款樣本(eufy、EZVIZ、D-Link)在進行實時動態影像串流時,駭客可透過自動化工具和程式展開「暴力攻擊」,透過試誤法(Trial & Error)反覆試驗所有可能的密碼組合,試圖破解密碼。
當中有 2 款(EZVIZ、D-Link)的預設密碼只有 6 位數字或字母,強度非常低,較容易讓駭客破解,而竊取影片。另外,當使用「 SpotsCam」的手機應用程式登入帳戶時,駭客可「無限制」地不斷重複嘗試以竊取帳戶資料。
3款鏡頭重新登入帳戶時 舊有對話金鑰仍有效
測試結果發現其中3款樣本(BotsLab、SpotCam、reolink)在重新登入連接鏡頭時,用於上一次連接的對話金鑰仍然有效,假如駭客成功偷取舊的對話金鑰,即可連接鏡頭,偷窺室內影像。
當中有1款(reolink)更可於同一手機內的應用程式登出帳戶或登入另一個帳戶後,仍然可以看到監控鏡頭拍攝所得的實時影像,存在安全漏洞。
應用程式儲存資料安全度不足 敏感資料有外洩風險
部分監控鏡頭的應用程式內嵌瀏覽器,讓用戶可直接瀏覽網頁,但其中 5 款樣本(imou、TP-Link、eufy、EZVIZ、D-Link)Android 版本的內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可透過植入程式碼存取裝置內的檔案。
另有5款樣本(小米、imou、BotsLab、eufy、EZVIZ)的手機應用程式存取過多權限,部分樣本存取的資料較為敏感,例如會讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,裝置內的資料有機會外洩。
消委會IP Cam5大安全建議
1)不應購買沒有品牌或來歷不明的產品,不但品質沒有保證,網絡安全亦未必完善。(消委會影片截圖)
2)建立帳戶時密碼應有足夠強度,以及定期更改,防止被輕易破解。(消委會影片截圖)
3)應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。(消委會影片截圖)
4)應避免使用公共無線網絡 Wi-Fi 進行監控,以免帳戶資料被記錄及盜取。(消委會影片截圖)
5)應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞。(消委會影片截圖)
提醒用家:須知會所有傭工、訪客裝有鏡頭
消委會促請生產商改善產品的網絡安全,例如加入防禦暴力攻擊的設計及為影片及資料進行數據密。消費者為監控鏡頭設定密碼時亦要有足夠強度並且定期更改,以及善用防火牆及網絡監察等功能。
測試的 10 款家居監控鏡頭樣本,售價介乎$269 至$1,888。(消委會提供)
消委會亦提醒,根據私隱專員公署的指引,消費者若在家中安裝監控鏡頭,應知會包括家庭傭工在內的家中所有成員及訪客,亦須考慮監察的範圍和程度,並告知僱員有關監察活動的公開性、以及妥善處理攝錄紀錄的方法等。
