港消委會:家用監控鏡頭存私隱外洩風險

僅一款符合歐洲網絡安全標準 應用程式儲存用戶資料安全度不足

人氣 51

【大紀元2023年03月16日訊】(大紀元記者黃芸芸、葉澤宇香港綜合報導)消費者委員會測試了市面上10款家用監控鏡頭的網絡安全,結果發現只有1款樣本符合歐洲的網絡安全標準,其餘9款均有不同的網絡安全隱患,包括沒有以加密方式傳送影像和資料、未能防禦黑客以「暴力攻擊」方式破解密碼等。

另外,監控鏡頭的應用程式在儲存用戶資料方面安全度不足,當中半數樣本可透過Android版本應用程式存取用戶於智能裝置中的檔案,而部份應用程式存取的權限亦過多。

消委會促請生產商改善產品的網絡安全,例如加入防禦暴力攻擊的設計及為影片及資料進行數據加密。消費者為監控鏡頭設定密碼時亦要有足夠強度並且定期更改,以及善用防火牆及網絡監察等功能。

消委會是次測試的10款家居監控鏡頭樣本,售價介乎269至1,888元,全部樣本均提供雙向語音對話、移動偵測、夜視、語音控制等功能。消委會委託獨立實驗室參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS,測試10款樣本的網絡安全以及硬件設計。

10款監控鏡頭中,總評分最高的為「arlo」,以5分滿分獲4分,其「防攻擊能力」、「資料傳送安全性」、「應用程式安全性」及「硬件設計」均為5分,唯「儲存資料保密性」得3分,售價亦是樣本中最高為1,888元,而且須另購配件才可把影片儲存於USB記憶棒內。其餘9款樣本的機身設有micro-SD記憶卡內插槽,插入記憶卡便可儲存影片。

五款沒有加密傳送資料

消委會指,監控鏡頭的應用程式會將拍攝所得的實時動態影像,串流至用戶的流動裝置,其中4款樣本在傳輸影像時,沒有使用「安全即時傳輸協定」 (SRTP),只採用安全性較低的「即時傳輸協定」(RTP),過程中沒有將影片數據加密。該4款樣本分別是「imou」(型號:IPC-F88FIP-V2)、「TP – Link」(型號:Tapo C210)、「EZVIZ」(型號:CS-C6)及「D – Link」(型號:DCS-8350LH)。

另外,「reolink」(型號:Argus 3 Pro)連接用家的Wi-Fi無線網絡時,是使用「超文本傳輸協定」(HTTP)傳送資料,沒有將敏感資料加密,黑客可從普通文字檔找到路由器的帳戶資料。消委建議生產商改用安全性較高的「超文本傳輸安全協定」(HTTPS)為用戶提供更大保障。

四款未能防暴力破解密碼

測試發現,有3款樣本在進行實時動態影像串流時,黑客可透過自動化工具和程式反覆試驗所有可能的密碼組合,「暴力」破解密碼。其中「EZVIZ」和「D – Link」的預設密碼只有6位數字或字母,強度非常低,較容易被破解;餘下一款則是「eufy」(型號:T8441X)。

消委會提到,「SpotCam」(型號:Solo 2)的樣本若以手提電話應用程式登入帳戶,未有限制可登入次數,黑客可不斷地重複嘗試登入以獲取帳戶資料。

消委會建議有關生產商為上述4款產品加入防暴力攻擊設計,如採用多重認證(multi-factor authentication)及限制嘗試密碼的次數。

三款重新登入帳戶時
舊對話金鑰仍有效

用戶每次登入連接鏡頭時均會使用相當於臨時密碼的對話金鑰,對話金鑰會在中斷連接後失效,用戶再次登入會用一個新的對話金鑰。但測試結果發現,「BotsLab」(型號:P4 Pro)、「 SpotCam」及「reolink」的樣本在重新登入連接鏡頭時,用於上一次連接的對話金鑰仍然有效。若黑客偷取舊的對話金鑰,即可連接鏡頭,偷窺影像。

「reolink」於同一手提電話內的應用程式登出帳戶或登入另一個帳戶後,仍然可以看到已登出帳戶所連接的監控鏡頭拍攝的實時影像,存在安全漏洞。

全部樣本應用程式
儲存資料安全性不足

消委會又發現,全部樣本在應用程式內儲存資料時安全性均不足,例如將電郵地址、帳戶名稱或密碼等敏感資料儲存於普通文字檔但沒有加密,相關資料要隔一段時間才會移除,存在風險。

另外,5款樣本Android版本的內嵌瀏覽器沒有封鎖存取檔案的權限,包括「imou」、「TP – Link」、「eufy」、「EZVIZ」及「D-Link」,黑客可透過植入程式碼存取裝置內的檔案。此外,有5款樣本的手提電話應用程式存取過多權限,裝置內的資料有機會外洩,包括「小米Mi」(型號:MJSXJ09CM)、「imou」、「BotsLab」、「eufy」及「EZVIZ」。

消委會又指出,「BotsLab」的Android版本應用程式使用已過時的數據加密標準(Data Encryption Standard,DES),金鑰長度較短,只有56位。

學者:只能倚賴生產商
提高產品質素

香港城市大學電子工程系副教授曾劍鋒先生認為,部份樣本的網絡安全問題較大,例如非授權服務器訪問、不安全數據傳輸、不安全數據加密,可能構成私隱洩露、手提電話數據洩露等風險。但家用監控鏡頭的產品設計及應用程式均由生產商負責,消費者只能倚賴生產商提高產品質素。

消委會建議市民選購家居監控鏡頭時,不應購買沒有品牌或來歷不明的產品;有需要監控時才開啟鏡頭及應用程式;設置有足夠強調的密碼,例如長度不少於8位,並混合大小楷字母、數字及特殊符號,以及定期更改;若監控鏡頭由專人上門安裝,切記在安裝後立即更改密碼。

此外消費者不應以任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共Wi-Fi進行監控,以免帳戶資料被記錄及盜取。◇

責任編輯:李薇

相關新聞
香港13款浴室暖風機加熱溫差大 乾衣電費可差一倍
香港消委會指雞精價格差異大
香港消委會去年接獲逾三萬宗投訴
香港消委會實測14款抽濕機
如果您有新聞線索或資料給大紀元,請進入。
評論