【消委會家用監控鏡頭測評】家中有長者、幼兒或寵物的家庭,常在家中安裝監控鏡頭,消委會早前測試10款家居監控鏡頭,發現當中9款存在安全問題,即畫面有可能外洩,但仍有1款獲得4星總評。
消委會家用監控鏡頭|10款鏡頭最平$269
消委會是次測試的10款家居監控鏡頭售價介乎$269至$1,888,消委會參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS測試,測試項目包括防攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計5項。
👇🏻10款家用監控鏡頭評測👇🏻
消委會家用監控鏡頭|5款傳送資料無加密
監控鏡頭的應用程式,會直接將鏡頭拍攝所得的實時動態影像串流至流動裝置。消委會發現有4款(「imou」、「TP-Link」、「EZVIZ」、「D-Link」)未有將影片數據加密,受攻擊時駭客可輕易窺探影片內容;至於「reolink」在透過mysimplelink服務連接用家的Wi-Fi無線網絡時亦未有將敏感資料加密,駭客可從普通文字檔找到路由器(router)的帳戶資料,資料存有外洩風險。
消委會家用監控鏡頭|3款難防駭客攻擊
若有駭客試圖入侵,密碼愈長且愈複雜,所需的破解時間便會愈長。測試發現,有3款在進行實時動態影像串流時,駭客可透過自動化工具和程式展開「暴力攻擊」,透過反覆試驗所有可能的密碼組合,試圖破解密碼,並有2款的預設密碼只有6位數字或字母,強度非常低,較容易讓駭客破解。
利用遙距監控家中情況時,理論上用戶必須先登入已連接鏡頭的帳戶才可觀看實事影像,惟消委會發現1款於同一手機內的應用程式即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像,裝置存在網絡安全漏洞。另一方面,消委會發現其中3款樣本,用於上一次連接的對話金鑰在下一次連接時仍然有效,舊有的對話金鑰如被洩露或被人連接鏡頭。
總結而言,10個樣本裡面僅「arlo」獲4星總評,其防攻擊能力、安全性及保密性表現相對理想。
消委會家用監控鏡頭|10款鏡頭評分
產品名稱 | 售價 | 評分 |
arlo Pro 4 | $1,888 | 4星 |
小米MJSXJ09CM | $269 | 3.5星 |
imou IPC-F88FIP-V2 | $1,380 | 3星 |
TP-Link Tapo C210 | $319 | 3星 |
BotsLab P4 Pro | $598 | 3星 |
eufy T8441X | $899 | 3星 |
SpotCam Solo 2 | $1,270 | 2.5星 |
EZVIZ CS-C6 | $630 | 2星 |
reolink Argus 3 Pro | $959 | 2星 |
D-Link DCS-8350LH | $699 | 2星 |
消委會家居監控鏡頭|8大選購及使用貼士
- 不應購買沒有品牌或來歷不明的產品,不但品質沒有保證,網絡安全亦未必完善
- 建立帳戶時密碼應有足夠強度,例如長度不應少於8位,並混合大小楷字母、數字及特殊符號來提高密碼強度,以及定期更改,防止被輕易破解。
- 若監控鏡頭由專人上門安裝及設置,切記在安裝後立即更改密碼;
- 建議在有需要進行監控時才開啟應用程式及啟動鏡頭,完成後建議把應用程式及鏡頭關掉。
- 應使用個人智能裝置登入鏡頭觀看畫面,不應以任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以免帳戶資料被記錄及盜取;
- 應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。
- 應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞;
- 如懷疑鏡頭內部系統曾被入侵或植入程式,建議修復一次官方韌體及將產品還原至出廠狀態,並可在重新安裝時建立全新帳戶及設定新密碼。
*資料來自第557期《選擇》月刊,產品及其品質或有所變更*