消委會|市售10款家用監控鏡頭 僅arlo符網絡安全標準售近2000元

撰文:馬煒傑
出版:更新:

不少人都會在家中安裝家用監控鏡頭,時刻監察家中情況。消委會調查發現市面有售的10款家用監控鏡頭,9款都存在安全漏洞,只有1款產品符合歐洲的網絡安全標準,當中最嚴重是「reolink」,其手機內應用程式即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭實時動態影像,明顯存在網絡安全漏洞。
其餘鏡頭亦有不同的漏洞風險,例如未能防禦駭客的「暴力攻擊」、傳送資料時沒有加密等。此外監控鏡頭的應用程式亦有待改善,全部樣本儲存用戶資料均不夠安全,當中6款更可透過應用程式存取智能裝置的檔案,用戶私隱有外洩風險。

消委會調查發現市面有售的10款家用監控鏡頭,9款都存在安全漏洞,只有1款產品符合歐洲的網絡安全標準。(歐嘉樂攝)

消委會委託獨立實驗室參考ETSIEN303645及OWASPMASVS標準測試市面10款家居監控鏡頭的網絡安全表現,包括防攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計。各樣本的售價由269元至1,888元,全部都提供雙向語音對話、移動偵測、夜視、AmazonAlexa及GoogleAssistant語音控制等功能。

+4

「reolink」樣本網絡安全問題最嚴重

測試結果發現,10款家用監控鏡頭中只有售價為1,888元「arlo」牌的家居監控鏡頭符合歐洲的網絡安全標準,其防攻擊能力、資料傳送安全性等都獲5分最高分。而其餘品牌包括「小米Mi」、「imou」、「TP-Link」、「BotsLab」、「eufy」、「SpotCam」、「EZVIZ」、「reolink」及「D-Link」的樣本均出現不同的網絡安全問題,當中最嚴重是「reolink」,其手機內應用程式即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像,裝置存在網絡安全漏洞。

「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時,駭客可透過試誤法等暴力攻擊,透過反覆試驗所有可能的密碼組合以獲得密碼。(消委會截圖)

3樣本終斷連接後「對話金鑰」仍有效

消委會又指正常而言,用戶每次登入連接鏡頭時均會使用新對話金鑰(sessionkey),以加密及解密互相傳送的資料及數據,當中斷連接後便會失效,惟測試發現「BotsLab」、「SpotCam」及「reolink」用於上一次連接的對話金鑰仍然有效,若駭客成功偷取舊有的對話金鑰,便可連接鏡頭。另外,「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時,駭客可透過試誤法(trialanderror)等暴力攻擊(bruteforceattack),透過反覆試驗所有可能的密碼組合以獲得密碼。

「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用即時傳輸協定來進行實時動態影像串流,沒有把影片數據進行加密,有機會受到中間人攻擊,駭客可輕易窺探影片內容。(消委會截圖)

測試還發現,10款樣本當中有5款沒有加密傳送,當中「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用即時傳輸協定(Real-timeTransportProtocol)來進行實時動態影像串流,沒有把影片數據進行加密,有機會受到中間人攻擊(maninthemiddleattack),駭客可輕易窺探影片內容。

另外,「reolink」透過mysimplelink服務連接用家的Wi-Fi無線網絡時,沒有進行身分驗證,只使用超文本傳輸協定(HyperTextTransferProtocol)傳送資料,沒有把敏感資料加密,駭客可從普通文字檔找到路由器的帳戶資料,存有洩風險。

5樣本沒有封鎖存取檔案權限

消委會亦指出,「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」Android版本的應用程式內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可植入程式碼以存取裝置檔案,令用戶私隱外洩。另外,「小米Mi」、「imou」、「eufy」及「D-Link」iOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript,駭客可進行跨網站指令碼攻擊(CrossSiteScripting,簡稱XSS)存取檔案位置。

測試同時檢視了應用程式的Android及iOS版本所要求的權限,發現5款樣本包括「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」的應用程式存取權限過多,而當中部分樣本存取的資料亦較為敏感,例如讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,裝置內的敏感資料有機會因而外洩。

曾劍鋒(右)認為測試的部分家用監控鏡頭樣本的網絡安全問題較大,例如非授權服務器訪問、不安全數據傳輸、不安全數據加密,對消費者構成的可能風險包括隱私洩露、手機數據洩露等(李慧妍攝/資料圖片)

專家:只能促請生產商改善網絡安全

香港城市大學電子工程系副教授曾劍鋒認為,測試的部分家用監控鏡頭樣本的網絡安全問題較大,例如非授權服務器訪問、不安全數據傳輸、不安全數據加密,對消費者構成的可能風險包括隱私洩露、手機數據洩露等。

他指由於家用監控鏡頭的產品設計及應用程式均由生產商負責,故只能促請生產商改善產品的網絡安全,而消費者只能倚賴生產商提高產品質素。即使消費者可善用防火牆及漏洞掃瞄等工具以改善網絡安全,惟該等措施亦未能完全解決網絡安全的漏洞。

消委會今年接獲1宗家用監控鏡頭投訴

消委會去年接獲2宗家用監控鏡頭的投訴,較2021年的9宗大幅減少7宗,今年首兩個月有1宗,去年同期亦接獲1宗。

消委會建議消費者不應購買沒有品牌或來歷不明的產品,除了品質沒有保證外,網絡安全未必很完善,若監控鏡頭由專人上門安裝及設置,安裝後應立即更改密碼。另外,亦應在有需要時,才開啟應用程式及啟動鏡頭,完成後建議把應用程式及鏡頭關掉,並且不應使用任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以防帳戶資料被暗中記錄及盜取。

消委會測家用監控鏡頭詳情?

消委會調查發現市面有售的多款家用監控鏡頭,9成存在安全漏,只有1款產品符合歐洲的網絡安全標準

有那些家用監控鏡頭有安全漏洞?

家用監控鏡頭有不同的安全漏洞,多個品牌名單請看