(獨媒報導)不少人會在家中安裝家用監控鏡頭,以便隨時觀察寵物、長者和嬰兒情況,但影像或有外洩風險!消委會調查10款家用監控鏡頭,發現9款存在安全漏洞,僅得「arlo」牌產品符合歐洲網絡安全標準;其餘9款樣本有無加密傳送影像、未能防禦「暴力攻擊」等漏洞,其中「reolink」問題最嚴重,其手機應用程式即使已登出帳戶後,仍可觀看所連接監控鏡頭的實時動態影像。消委會促請生產商改善產品的網絡安全設計,並建議政府參考海外做法,就物聯網裝置網絡安全推出規管計劃或標準。

螢幕擷取畫面 2023-03-15 122447
新一期《選擇》月刊封面人物為男演員栢天男

最平小米總評分排第二 5鏡頭傳送資料無加密

消委會發布新一期《選擇》月刊,今期封面人物為男演員栢天男。會方委託獨立實驗室,。參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS,測試10款家居監控鏡頭樣本的網絡安全功能、包括防攻擊能力、應用程式安全性、儲存資料保密性及硬件設計等。10款樣本售價介乎269元至1,888元,全部均提供雙向語音對話、移動偵測、夜視、Amazon Alexa及Google Assistant語音控制等功能。

測試結果顯示10款家用監控鏡頭中,僅得售價為1,888元「arlo Pro 4」家居監控鏡頭符合歐洲網絡安全標準,其防攻擊能力、資料傳送安全性、應用程式安全性及硬件設計均獲5分滿分,惟儲存資料保密性稍遜得3分,總評分為4分。至於測試樣本中最便宜、僅售269元的「小米Mi MJSXJCMJCM」總評排第二,獲3.5分,其放攻擊能力及資料傳送安全性均獲滿分。

會方表示除「arlo 」外,其餘品牌均不符歐洲標準,有不同的網絡安全問題。其中在傳輸影像上,「imou」、「TP-Link」、「EZVIZ」及「D-Link」4款樣本無使用可提供數據加密和訊息認證的「安全即時傳輸協定」 (SRTP),只採用安全性較低的「即時傳輸協定」(RTP),傳送途中或受到駭客攻擊,能輕易窺探影片內容。

1d_CHOICE_557_Home Surveillance Cameras_Samples_2
消委會圖片

1c_CHOICE 557_Home Surveillance Cameras_Infograph
消委會圖片

「reolink」登出帳戶後仍可收看實時動態 存安全漏洞

消委會提到,「reolink」在連接用家的Wi-Fi網絡時使用「超文本傳輸協定」(HTTP)傳送資料,沒有加密敏感資料,駭客可從普通文字檔找到路由器的帳戶資料,資料有外洩風險。此外,會方指一般而言,用戶須登入已連接監控鏡頭帳戶方能觀看實時動態影像,惟測試發現「reolink」於手機內的應用程式,即使已登出帳戶或登入另一帳戶,仍可看到已登出帳戶所連接鏡頭拍攝的實時動態,存在網絡安全漏洞。

用戶每次登入連接鏡頭時,均會使用相當於臨時密碼、將傳送資料加密及解密的「對話金鑰」(session key),一般而言金鑰會在中斷連接後失效;不過測試發現「BotsLab」、「SpotCam」及「reolink」樣本在重新登入時,用於上次連接的對話金鑰仍然有效,若駭客偷取舊對話金鑰即可連接鏡頭。

測試又發現,「eufy」、「EZVIZ」及「D-Link」3款樣本在進行實時動態影像串流時,駭客可透過試誤法(trial and error)等暴力攻擊(bruteforceattack),反覆試驗所有可能的密碼組合破解。消委會表示,「EZVIZ」及「D-Link」的實時動態預設密碼為6位數或字母,密碼強度非常弱,能輕易遭破解;另外「SpotCam」的手機程式登入帳戶時,未有限制可登入次數,駭客可不斷重回覆登入以獲取資料。

螢幕擷取畫面 2023-03-15 123819
消委會影片

小米等5樣本手機App存取權限過多 如讀取行事曆、帳戶資料

測試亦顯示,10款樣本在應用程式內儲存資料時,全部安全性均不足,例如將電郵地址及帳戶密碼等資料儲存於普通文字檔,未有使用加密技術保護,相關資料要相隔一段時間後才會移除。就10款樣本應用程式(Android及iOS版本)要求的權限,測試發現「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」5款樣本程式的存取權限過多,部分存取的資料較敏感,包括讀取裝置上的行事曆、帳戶資料、用戶正使用的應用程式等,有關資料或因而外洩。

此外,部分監控鏡頭的應用程式內嵌瀏覽器,以便用戶直接瀏覽網頁,但測試顯示「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」 Android版本的內嵌瀏覽器無封鎖存取檔案的權限,駭客能以植入程式碼取得裝置内檔案。同時,「小米Mi」、「imou」、「eufy」及「D-Link」iOS版本應用程式內嵌瀏覽器使用已過時的UIWebView,或無停用JavaScript,駭客可進行跨網站指令碼攻擊存取資料。

消委會提醒用家居鏡頭 須知會家傭、訪客

消委會未有列出廠商回應,僅促請生產商加入防禦暴力攻擊的設計,並為影片及資料進行數據加密,如使用安全性較高的「超文本傳輸安全協定」(HTTPS)等。至於就消費者而言,消委會提醒須留意有關應用程式的存取權限,因下載及安裝程式後,權限會容許程式在毋須同意下自動存取資料。會方又提醒消費者不應購買來歷不明的家居監控鏡頭,如在專人上門安裝後應立即改密碼,密碼長度不應少於8位,並混合大小楷字母、數字及特殊符號,並須定期更改。

螢幕擷取畫面 2023-03-15 123830
消委會影片

消委會建議,消費者應在有需要時才啟動鏡頭及應用程式,用完後應把程式及鏡頭關掉,並不應使用任何公用及沒有管理權限的裝置登入帳戶,同時避免使用公共Wi-Fi進行監控,防止帳戶資料盜取;及善用防火牆及網絡監察等功能。會方又特別提醒,據私隱專員公署的《閉路電視監察及使用航拍機指引》,消費者若在家中安裝監控鏡頭,應知會家傭在內的家庭成員及訪客, 並須考慮監察範圍和程度,評估進行監察的需要。會方建議港府可參考海外國家做法,推出網絡安全標籤認證計劃規管無線電設備指令,從而推動本地物聯網裝置的網絡安全。

學者:消費者須依賴生產商提高質素 防火牆等工具不完全解決漏洞

香港城市大學電子工程系副教授曾劍鋒則認為,是次測試的部分樣本網絡安全問題較大,包括非授權服務器訪問、數據傳輸不安全等,消費者須面臨隱私或手機數據洩露等風險。他表示,家用監控鏡頭的產品設計及應用程式均由生產商負責,故只能促請生產商改善產品的網絡安全,消費者則只能倚賴生產商提高質素;即使消費者使用防火牆或漏洞掃瞄等工具,措施亦不能完全解決安全漏洞。