不少家庭都會在家設置家用監控鏡頭,尤其是一眾貓奴狗奴,即使不在家也能隔空觀察主子的起居生活。然而監控鏡頭連接網絡,若有網絡安全隱患,或隨時將家庭生活鉅細無遺地展露人前。消委會是次測試市面上 10 款家用監控鏡頭,發現只有一款合乎歐洲網絡安全標準,其餘或出現沒有以加密方式傳送影像、未能防禦駭客以「暴力攻擊」方式破解密碼等。
是次測試的 10 款樣本,價錢分別為 $269 至 $1,888 不等,全部均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及 Google Assistant 語音控制等功能。消委會就委託獨立實驗室以歐洲標準 ETSI EN 303 645 及工業標準 OWASP MASVS 測試此 10 個樣本,包括防攻擊能力、資料傳送及應用程式安全性、儲存資料保密性,以及硬件設計。
10 款樣本當中,只得「arlo」(#1)獲得四星評分,售價為 $1,888,即 10 個樣本中最昂貴的一款。它在防攻擊能力、資料傳送安全性、應用程式安全性及硬件設計均獲5分評分,僅於儲存資料保密性獲3分。它須另購配件才能將影片儲存於 USB 記憶棒,其餘 9 款樣本的機身設有 micro-SD 記憶卡內插槽,只要插入記憶卡便可儲存影片。
reolink登出後仍看到實時影像
就防攻擊能力的測試,發現「reolink」(#9)於同一手機內的應用程式(App),即使登出帳戶式登入另一帳戶後,仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像,網絡安全成疑。
三款舊 session key 仍有效
另外,用戶每次登入連接鏡頭均會以對話金鑰(session key)作為臨時密碼,可加密及解密互相傳送的資料及數據。理論上當中斷連接後,該次的對話金鑰便會失效,用家需要重新登入及使用新的對話金鑰才能加密及解密。惟測試發現,使用「BotsLab」(#5)、「SpotCam」(#7)及「 reolink」(#9)時,上一次連接的對話金鑰仍然有效。即是說,若駭客偷獲舊有的對話金鑰,便可連接鏡頭。
四款易被駭客破解密碼
至於暴力攻擊(brute force attack),消委會發現「eufy」(#6)、「EZVIZ」(#8)及「D-Link」(#10)均容讓駭客可以試誤法(trial and error)來破解密碼,即是說,當駭客用上自動化工具及程式反覆試驗,用戶的私隱便瞬間不保。除此之外,「EZVIZ」(#8)及「D-Link」(#10)的預設密碼分別為 6 位字母或數字,如此弱的密碼強度,讓駭客很快便能破解密碼及竊取實時串流的影片。另一款樣本「SpotCam」(#7)的手機 APP 登入帳戶時,亦未有限制可嘗試次數,駭客可重複嘗試密碼登入以獲取帳戶資料。
五款無加密傳送易被hack
有四款樣本未有將影片數據進行加密,因此傳送鏡頭所得影像至流動裝置時,容易受到中間人攻擊(man in the middle attack),駭客可輕易從中窺探影片內容,當中包括「imou」(#3)、「TP-Link」(#4)、「EZVIZ」(#8)及「D-Link」(#10)。而「reolink」(#9)連接用家的Wi-Fi 網絡時,沒有進行身分驗證(authentication),只使用超文本傳輸協定(Hyper Text Transfer Protocol,簡稱 HTTP)傳送資料,沒有為敏感資料加密,駭客可從普通文字檔就找到路由器(router)的帳戶資料,令資料外洩。
五款Android App易被hack
另就 APP 的安全性,消委會發現「imou」(#3)、「TP-Link」(#4)、「eufy」(#6)、「EZVIZ」(#8)及「D-Link」(#10)Android 版本的 App 內嵌瀏覽器,沒有封鎖存取檔案的權限,駭客植入程式碼便可存取裝置檔案。而「小米Mi」(#2)、「imou」(#3)、「eufy」(#6)及「D-Link」(#10)iOS 版本的 App 內嵌瀏覽器,則使用過時的 UIWebView 或沒有停用JavaScript,駭客可進行跨網站指令碼攻擊(Cross Site Scripting,簡稱XSS)。
小米手機App要求過多權限
消委會另測試發現,「小米Mi」(#2)、「imou」(#3)、「Bots Lab」(#5)、「eufy」(#6)及「EZVIZ」(#8)的手機版本要求的存取權限過多,部分存取的資料亦較敏感,如讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,用戶手機的資料或有機會外洩。
消委會提醒,不應購買沒有品牌或來歷不明的產品,除了品質欠保證,網絡安全亦有隱患;帳戶密碼應有足夠強度並定期更改;善用防火牆、活動紀錄等功能,經常查看以偵測可疑活動。
是次消委會測試產品名單:
1. Arlo Pro 4($1,888)
2. 小米Mi MJSXJ09CM($269)
3. Imou PC-F88FIP-V2($1,380)
4. TP-Link Tapo C210($319)
5. BotsLab P4 Pro($598)
6. eufy T8441X($899)
7. SpotCam Solo 2($1,270)
8. EZVIZ CS-C6($630)
9. reolink Argus 3 Pro($959)
10. D-Link DCS-8350LH($699)
============
同場加映:
【蝸居睇樓團】型男Catry 500呎 獅子山靚景新屋實錄 ! 網紅酒店雲石廁所+吧台
」,
App內睇文同睇片可隨時捕捉U Fun彩蛋,
換領現金券及禮品!
↓【送機票✈️】分享旅行靚相 贏免費機票↓
↓ 請您免費飛轉日/韓/泰!↓
↓【免費睇】《香港打卡蛋糕合集》↓
↓50間蛋糕店介紹!附真實食評/選購攻略等↓
