消委會最新一期測試10款家用監控鏡頭,發現9款樣本均存有不同安全隱患。例如於串流影像時,4款樣本沒有將數據加密、3款樣本黑客可以透過「暴力」攻擊破解密碼。而全部樣本的應用程式,在儲存敏感資料時沒有進行加密保護;5款樣本的應用程式存取過多權限,部分手機敏感資料都有機會被存取。只有一款獲得總評分4星。
今次測試的10款家居監控鏡頭樣本,售價介乎269至1,888元,全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa及Google Assistant語音控制等功能。消委會委託獨立實驗室參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS測試此10款樣本的網絡安全,包括防攻擊能力、資料傳送及應用程式安全性、儲存資料保密性,以及硬件設計。得出10款家用監控鏡頭評分如下:
‧arlo Pro 4($1,888)評分4星
‧小米 MJSXJ09CM($269)評分3.5星
‧imou IPC-F88FIP-V2($1,380)評分3星
‧TP-Link Tapo C210($319)評分3星
‧BotsLab P4 Pro($598)評分3星
‧eufy T8441X($899)評分3星
‧SpotCam Solo 2($1,270)評分2.5星
‧EZVIZ CS-C6($630)評分2星
‧reolink Argus 3 Pro($959)評分2星
‧D-Link DCS-8350LH($699)評分2星
10款被測試家用監控鏡頭中,有5款傳送資料無加密,其應用程式會直接將鏡頭拍攝所得的實時動態影像,串流至流動裝置。消委會發現imou、TP-Link、EZVIZ及D-Link未有將影片數據加密,受攻擊時黑客可輕易窺探影片內容;至於reolink在透過mysimplelink服務,連接用家的WiFi時亦未有將敏感資料加密,黑客可從普通文字檔找到路由器帳戶資料,資料有外洩風險。
若有黑客試圖入侵,密碼愈長愈複雜,所需破解時間便愈長。消委會測試發現,eufy、EZVIZ、D-Link在進行實時動態影像串流時,黑客可透過自動化工具和程式展開「暴力攻擊」,透過反覆試驗所有可能的密碼組合,試圖破解密碼,其中EZVIZ、D-Link的預設密碼只有6位數字或字母,強度非常低,易被黑客破解。
利用遙距監控家中狀況時,理論上用戶必須先登入已連接鏡頭的帳戶,才可觀看實時影像,惟消委會發現,reolink於同一手機內的應用程式,即使已登出帳戶或登入另一帳戶,仍可看到已登出帳戶所連接的監控鏡頭、所拍攝的實時動態影像,裝置存在網絡安全漏洞。另一方面,消委會發現BotsLab、SpotCam及reolink樣本,用於上一次連接的對話金鑰,在下一次連接時仍有效。
消委會總結,10個樣本中arlo獲4星總評,其防攻擊能力、安全性及保密性表現相對理想。
消委會提醒消費者選購和使用家居監控鏡頭時,應注意以下事項:
‧不應購買沒有品牌或來歷不明的產品,不但品質沒有保證,網絡安全亦未必完善;
‧建立帳戶時密碼應有足夠強度,例如長度不應少於8位,並混合大小楷字母、數字及特殊符號來提高密碼強度,以及定期更改,防止被輕易破解。若監控鏡頭由專人上門安裝及設置,切記在安裝後立即更改密碼;
‧建議在有需要進行監控時才開啟應用程式及啟動鏡頭,完成後建議把應用程式及鏡頭關掉。此外消費者應使用個人智能裝置登入鏡頭觀看畫面,不應以任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以免帳戶資料被記錄及盜取;
‧應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。此外亦應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞;
‧假如懷疑鏡頭內部系統曾被入侵或植入程式,建議修復一次官方韌體及將產品還原至出廠狀態,並可在重新安裝時建立全新帳戶及設定新密碼。
新聞來源:消委會
支持我們:https://points-media.com/supports/
