「智能家居」近年愈趨普及,不少家庭都會安裝家用監控鏡頭(IP Cam),消費者委員會測試了市面上10款家用監控鏡頭的網絡安全,結果發現只有1款樣本符合歐洲的網絡安全標準,其餘9款均有不同的網絡安全隱患,包括沒有以加密方式傳送影像和資料、未能防禦駭客以「暴力攻擊」方式破解密碼等。總評排在第一位的是Arlo Pro4,第二位是小米 Mi智能攝影機2K雲台版。
另外,監控鏡頭的應用程式在儲存用戶資料方面安全度不足,當中半數樣本可透過Android版本應用程式存取用戶於智能裝置中的檔案,而部分應用程式存取的權限亦過多。
是次測試的10款家居監控鏡頭樣本,售價介乎$269至$1,888,全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及Google Assistant語音控制等功能。消委會委託獨立實驗室參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS測試此10款樣本的網絡安全,包括防攻擊能力、資料傳送及應用程式安全性、儲存資料保密性,以及硬件設計。
5款鏡頭傳送影像或資料沒加密 駭客易竊探
測試發現,其中4款樣本在傳輸影像時,沒有使用可提供數據加密和訊息認證的「安全即時傳輸協定」(SRTP),只採用安全性較低的「即時傳輸協定」(RTP),過程中沒有將影片數據加密,傳送途中有機會受到駭客攻擊,能輕易窺探影片內容。另外1款樣本連接用家的Wi-Fi無線網絡時,使用「超文本傳輸協定」(HTTP)傳送資料,沒有把敏感資料加密,駭客可以從普通文字檔找到路由器的賬戶資料。若生產商改用安全性較高的「超文本傳輸安全協定」(HTTPS),可為用戶提供更大的私隱保障。
若有駭客試圖入侵,密碼愈長且愈複雜,所需的破解時間便會愈長。測試發現,有3款樣本在進行實時動態影像串流時,駭客可透過自動化工具和程式展開「暴力攻擊」,透過反覆試驗所有可能的密碼組合,試圖破解密碼,當中有2款的預設密碼只有6位數字或字母,強度非常低,較容易讓駭客破解,繼而竊取影片。另1款監控鏡頭則在使用手機應用程式登入賬戶時,駭客可不斷地重複嘗試以竊取賬戶資料。
3款鏡頭重新登入賬戶時 舊有對話金鑰仍有效
用戶每次登入連接鏡頭時均會使用相當於臨時密碼的對話金鑰,用以將傳送的資料和數據加密及解密。對話金鑰會在中斷連接後失效,當用戶再次登入時,會使用一個新的對話金鑰。不過,測試結果發現其中3款樣本在重新登入連接鏡頭時,用於上一次連接的對話金鑰仍然有效,假如駭客成功偷取舊的對話金鑰,即可連接鏡頭,偷窺室內影像。而該3款樣本中,有1款更可於同一手機內的應用程式登出賬戶或登入另一個賬戶後,仍然可以看到監控鏡頭拍攝所得的實時影像,存在安全漏洞。
應用程式儲存資料安全度不足 敏感資料有外洩風險
測試結果亦顯示,全部10款樣本在應用程式內儲存資料時,安全性均不足夠,例如將電郵地址、賬戶名稱或密碼等敏感資料,儲存於普通文字檔,卻沒有使用加密技術保護,相關資料要相隔一段時間後才會移除,令駭客有機可乘。
另外,部分監控鏡頭的應用程式內嵌瀏覽器,讓用戶可直接瀏覽網頁,但其中5款樣本Android版本的內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可透過植入程式碼存取裝置內的檔案。此外,有5款樣本的手機應用程式存取過多權限,部分樣本存取的資料較為敏感,例如會讀取裝置上的行事曆、賬戶資料、用戶正在使用的應用程式等,裝置內的資料有機會外洩。消委會提醒消費者在安裝及使用監控鏡頭的應用程式前,需留意當中要求存取用戶資料的權限,因為當下載及完成安裝程式後,有關權限就會容許程式在毋須再經用戶同意下,自動存取相關資料,用戶亦無法知悉程式會如何及何時使用有關資料。
使用監控鏡頭 應告知家傭及訪客
根據個人資料私隱專員公署的《閉路電視監察及使用航拍機指引》,消費者若在家中安裝監控鏡頭,應知會包括家庭傭工在內的家中所有成員及訪客,亦須考慮監察的範圍和程度,並且應該充分理解公署發出的《僱主監察僱員工作活動須知:家傭僱主應注意的事項》中的內容,包括評估進行監察的需要、有否其他較不侵犯私隱的替代方法、考慮攝錄監察方式的合理性、告知僱員有關監察活動的公開性、以及妥善處理攝錄紀錄的方法等。
消委會提醒消費者選購和使用家居監控鏡頭時,應注意以下事項:
- 不應購買沒有品牌或來歷不明的產品,不但品質沒有保證,網絡安全亦未必完善;
- 建立賬戶時密碼應有足夠強度,例如長度不應少於8位,並混合大小楷字母、數字及特殊符號來提高密碼強度,以及定期更改,防止被輕易破解。若監控鏡頭由專人上門安裝及設置,切記在安裝後立即更改密碼;
- 建議在有需要進行監控時才開啟應用程式及啟動鏡頭,完成後建議把應用程式及鏡頭關掉。此外消費者應使用個人智能裝置登入鏡頭觀看畫面,不應以任何公用及沒有管理權限的裝置登入賬戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以免賬戶資料被記錄及盜取;
- 應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。此外亦應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞;
- 假如懷疑鏡頭內部系統曾被入侵或植入程式,建議修復一次官方韌體及將產品還原至出廠狀態,並可在重新安裝時建立全新賬戶及設定新密碼。
更多報道:
收藏
取消收藏
分享
