很多家庭都會因屋企有嬰兒、小朋友、長者或寵物而安裝家用IP CAM監控鏡頭,可以全天候隨時隨地透過智能裝置觀看家居情況及直接與家人隔空對話,而且能夠將影像實時串流到手機等流動裝置。消委會測試了市面10款售價由$269至$1,888的家用監控鏡頭,主要測試樣本的網絡安全性。
10個家用IP CAM樣本,只得一款合格
消委會委託獨立實驗室參考歐洲網絡安全標準測試樣本的資料傳送安全性、儲存資料保密性、防攻擊能力、應用程式安全性及硬件設計,報告指出測試的10個家用IP CAM樣本中,只有1款售價$1,888的「arlo Pro 4 」符合歐洲網絡安全標準,其餘9款,均潛在不同的網絡安全問題。
資料傳送安全性及儲存資料保密性漏洞
測試發現其中4款樣本「imou」、「TP-Link」、「EZVIZ」及「D-Link」沒有將傳送的影片數據進行加密,如果傳送過程中受到中間人甚至黑客入侵攻擊,影片內容便輕易被偷看;另外1款樣本「reolink」,沒有將敏感資料加密,黑客同樣可以輕易看到router的帳戶資料,敏感資料有外洩風險。
防攻擊能力安全風險
防攻擊能力安全方面,發現一款樣本「reolink」於同一手機登出帳戶後或再登入另一個帳戶後,還可以看到已登出帳戶所連接的家用監察鏡頭拍攝的實時影像;消委會指出如果用戶於共用流動裝置登入帳戶,更有可能給其他人看到家居情況及個人帳戶資料;
有3款樣本「BotsLab」、「SpotCam」及「reolink」於用戶每次登入連接家用監控鏡頭時使用的對話金鑰(session key)於中斷連線後仍然有效,假如黑客成功偷取舊的對話金鑰,即可連接鏡頭偷窺室內影像。
另外有3款樣本「eufy」、「EZVIZ」及「D-Link」於傳送影片時,有被黑客暴力攻擊的風險,如果密碼強度不夠,黑客可以輕易不斷重複嘗試撞破傳送影片的密碼。
應用程式安全性及硬件設計問題
至於相關應用程式的安全性,測試報告發現其中5款樣本「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」 的Android版應用程式可以直接在應用程式內瀏覽網頁,但沒有封鎖存取檔案的權限,黑客有機會取得用戶私人資料;
另外1款樣本「BotsLab」用了過時的數據加密標準,同樣網絡安全不理想;
還有另外5款樣本「小米Mi」、「imou」、「BotsLab」及「eufy」及「EZVIZ」的應用程式存取過多權限,黑客能提取用戶一些敏感資料例如行事曆、帳戶資料及正在使用的應用程式等資料。
至於硬件設計方面,報告指出「BotsLab」、「TP-Link」及「EzZVIZ」這3款的應用程式登入版面設計欠佳,黑客可以透過不斷嘗試輸入真實帳戶資料登入帳戶進行攻擊。
消委會提醒消費者選購和使用家居監控鏡頭時,應注意以下5大事項:
- 不應購買沒有品牌或來歷不明的產品,不但品質沒有保證,網絡安全亦未必完善;
- 建立帳戶時密碼應有足夠強度,例如長度不應少於8位,並混合大小楷字母、數字及特殊符號來提高密碼強度,以及定期更改,防止被輕易破解。若監控鏡頭由專人上門安裝及設置,切記在安裝後立即更改密碼;
- 建議在有需要進行監控時才開啟應用程式及啟動鏡頭,完成後建議把應用程式及鏡頭關掉。此外,消費者應使用個人智能裝置登入鏡頭觀看畫面,不應以任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以免帳戶資料被記錄及盜取;
- 應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。此外亦應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞;
- 假如懷疑鏡頭內部系統曾被入侵或植入程式,建議修復一次官方韌體及將產品還原至出廠狀態,並可在重新安裝時建立全新帳戶及設定新密碼。
資料來源:消費者委員會
想知更多家庭電器資訊?請按【家庭電器】