Ad Block Ad Block
本地
2023-03-15 11:30:00

消委會|九成家用監控鏡頭存私隱外洩風險 1款登出帳戶仍可見實時影像 (有片)

分享:
消委會今次測試的10款鏡頭。(消委會)

消委會今次測試的10款鏡頭。(消委會)

現時不少家庭都安裝家用監控鏡,惟個人私隱安全問題惹來關注。消委會測試市面上10款家用監控鏡頭的網絡安發現僅1款樣本符合歐洲網絡安全標準,其餘9款(九成)均有不同的網絡安全隱包括沒有以加密方式傳送影像和資料、儲存用戶資料安全度不足,及未能防禦駭客以「暴力攻擊」方式破解密碼。消委會建議港府參考不同國家的,推出適合本港的物聯網裝置網絡安全標籤認證,並呼籲消費者不應購買沒有品牌或來歷不明的產品等。

消委會委託獨立實驗室參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS測試市面10款家居監控鏡頭的網絡安全表現,包括防攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計。各樣本的售價由269元至1,888元,全部提供雙向語音對話、移動偵測、夜視、Amazon AlexaGoogle Assistant語音控制等功能。

reolink」存網絡安全漏洞

測試結果發現,10款家用監控鏡頭中,僅售價為1,888元「arlo」牌的家居監控鏡頭符合歐洲網絡安全標準,其防攻擊能力、資料傳送安全性等都獲5分最高分;而其餘品牌包括「小米Mi」、「imou」、「TP-Link」、「BotsLab」、「eufy」、「SpotCam」、「EZVIZ」、「reolink」及「D-Link」的樣本均出現不同的網絡安全問題。

Ad Block

其中,消委會指「reolink」在同一手機內的應用程式,即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像,裝置存在網絡安全漏洞。

消委會今次測試的10款鏡頭。(消委會) (消委會)

5款鏡頭傳送影像或資料沒加密   駭客易竊探

測試又發現,5款樣本沒有加密傳送,其中「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用「即時傳輸協定」(Real-time Transport Protocol)來進行實時動態影像串流,沒有把影片數據進行加密,有機會受到「中間人攻擊」,駭客可輕易窺探影片內容;至於「reolink」透過mysimplelink服務連接用家的Wi-Fi無線網絡時,沒有進行身分驗證,只使用「超文本傳輸協定」(HTTPl)傳送資料,沒有把敏感資料加密,駭客可從普通文字檔找到路由器的帳戶資料,存有外洩風險。

Ad Block

3款鏡頭重新登入帳戶時   舊有對話金鑰仍有效

3款樣本,包括BotsLab」、「SpotCam」及「reolink在重新登入連接鏡頭時,用於上一次連接的對話金鑰仍然有效,若駭客成功偷取舊的對話金鑰,即可連接鏡頭,偷窺室內影像另外,「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時,駭客可透過試誤法(trialanderror)等暴力攻擊,透過反覆試驗所有可能的密碼組合以獲得密碼。

同時,測試亦檢視了應用程式的AndroidiOS版本所要求的權限,發現「imou」、「TP-Link、「eufy、「EZVIZ」及D-LinkAndroid版本的應用程式內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可植入程式碼以存取裝置檔案,令用戶私隱外洩;「小米Mi」、imou」、「eufy」及「D-Li n kiOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript,駭客可進行跨網站指令碼攻(Cross Site Scripting,簡稱XSS)

Ad Block

消委會倡有需要時方啟動鏡頭

消委會表示,歐美多國及新加坡等地,都已經推出物聯網裝置網絡安全標籤認證,建議港府參考,推出相關標準推動物聯網安全,又建議消費者不應購買沒有品牌或來歷不明的產品,假如監控鏡頭由專人上門安裝及設置,安裝後應立即更改密碼,同時應在有需要時,才開啟應用程式及啟動鏡頭,完成後應把應用程式及鏡頭關掉等。

Ad Block
請接受以下私隱政策及免責聲明,以示你同意am730內之私隱政策及免責聲明。了解更多
接受