10款家用監控鏡頭 9存私隱風險 相連App儲存資料10款全無加密 消委倡安裝即改8位密碼
【明報專訊】家用監控鏡頭產品被揭有私隱風險。消費者委員會測試市面10款家用監控鏡頭的網絡安全性,發現當中9款有網安隱患,包括4款未有以加密方式傳送影像和資料,易受黑客攻擊,令資料外泄;所有監控鏡頭的應用程式(App)在儲存用戶資料方面安全度不足,部分存取的權限過多。消委會提醒,市民應為監控鏡頭設定有足夠強度的密碼,並建議政府推出適合本港物聯網裝置的網絡安全標籤認證計劃。
消委會委託獨立實驗室,測試10款售價介乎269至1888元的家居監控鏡頭的網絡安全表現,結果顯示只有最貴的品牌arlo符合歐洲網絡安全標準。現時用戶每次登入連接鏡頭時,都會先連接至生產商的伺服器;測試發現,品牌reolink樣本在登出帳戶或登入另一帳戶後,仍可看到已登出帳戶所連接鏡頭的實時影像,存在網絡安全漏洞。
1款登出後仍可看鏡頭直播
監控鏡頭用戶每次登入時均要使用「對話金鑰」,金鑰相當於一個臨時密碼,用於加密及解密傳送的資料,金鑰應在中斷連接後失效。消委會發現,BotsLab、SpotCam及reolink樣本在重新登入時,用於上一次連接的對話金鑰仍然有效,若黑客偷取舊對話金鑰,即可連接鏡頭偷窺室內影像。另外,有4款樣本未能防禦黑客的暴力攻擊(brute force attack),其中SpotCam樣本的應用程式登入帳戶時,無限制可登入次數,黑客可不斷重複嘗試「撞密碼」登入,竊取帳戶資料。
監控鏡頭會直接將所拍的實時影像,串流至流動裝置。測試亦發現5款樣本未有加密傳送資料,其中imou、TP-Link、 EZVIZ及D-Link樣本只採用安全較低的「即時傳輸協定(RTP)」,數據傳送時或會受黑客攻擊,輕易窺探影片內容;reolink樣本連接用家Wi-Fi無線網絡時,使用「超文本傳輸協定(HTTP)」傳送資料,未有加密,駭客可從普通文字檔找到路由器的帳戶資料。
5款存取權限過多 包括小米
測試結果亦顯示,全部10款樣本在應用程式內儲存資料時安全性均不足,無使用加密技術保護,只將電郵地址、帳戶名稱或密碼等資料儲存於普通文字檔。售價最低的「小米」樣本獲3.5星總評,位列第二,但它與其他4款產品均被消委會認為其手機應用程式存取過多權限,例如讀取裝置的行事曆、帳戶資料、用戶正使用的應用程式等,令手機資料有可能外泄。
消委籲不用時關鏡頭
消委會提醒,市民應為監控鏡頭設定有足夠強度的密碼,密碼不應少於8位,亦要善用防火牆及網絡監察等功能;不應以任何公用及不設管理權限的裝置登入帳戶,避免使用公共無線網絡Wi-Fi監控。該會又提醒,若監控鏡頭由專人上門安裝及設置,安裝後應立即更改密碼。被問到應否不使用有關鏡頭,消委會總幹事黃鳳傴晼A市民想留意家中長者、小童或寵物,「睇唔到黈伬啈菑v個心唔安樂」,故不能建議不使用,但建議不使用時應關上鏡頭,否則會提高私隱風險。
明報記者
(消委報告)