有不少人會使用家用監控鏡頭去監測家中的小朋友、老人、寵物等事情,而近日消委會測試了市面上10款家用監控鏡頭的網絡安全,發現僅得1款符合歐洲的網絡安全標準,其餘9款都有不同安全問題,情況值得令人關注。
10個樣本只有1個符合標準
消委會測試10個樣本,售價介乎$269至$1,888,均提供雙向語音對話、移動偵測、夜視、Amaxon Alexa及Google Assistant語音控制等功能並參考ETSI EN303 645及OWASP MASVS標準,測試10個樣本的網絡安全表現。測試結果發現,10個樣本中只有售價$1,888「arlo」牌的家居監控鏡頭符合歐洲網絡安全標準,其防攻擊能力、資料傳送安全性都獲得最高分。
reolink存在嚴重網絡安全漏洞
平時用戶應先登入已連接監控鏡頭的帳戶才可觀看實時動態影象串流(real-time video streaming)。測試顯示,「reolink」在同一手機內的應用程式即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭所拍攝的實時影像,裝置存在網絡安全漏洞。
3樣本使用舊金鑰亦有效
消委會指,用戶每次登入連接鏡頭時均會使用新對話金鑰(sessionkey),用於加密及解密互相傳送的資料及數據,當中斷連接後便會失效。測試後發現。「BotsLab」、「SpotCam」、「reolink」用於上一次連接鏡頭的對話金鑰仍然有效,如果駭客偷取到你舊的對話金鑰,就可以連接到你的鏡頭。
4樣本未能防禦駭客攻擊
報告顯示,有4款樣本未能防禦駭客攻擊,包括「eufy」、「EZVIZ」及「D-link」進行實時影像串流時,駭客可以透過暴力攻擊(brute force attack)破解。而「SpotCam」的手機應用程式登入後,未有限制登入次數,駭客可不斷重複嘗試登入以獲取資料。
5樣本存取檔案漏洞
消委會亦發現有5款樣本存存取檔案漏洞,包括「TP-Link」、「imou」、「D-Link」、「eufy」及「EZVIZ」的Android應用程式內嵌瀏覽器,沒有封存鎖存取檔案的權限,而駭客可植入程式碼來取得資料。其次,「小米Mi」、「imou」、「eufy」及「D-link」的IOS應用程式內嵌瀏覽器,使用已過時的UIWebView或沒有停用JavaScript,駭客可進行跨網站指令碼攻擊來取得檔案,使資料外洩。
5樣本沒有加密資料傳送
報告指,「imou」、「TP-Link」、「EZVIZ」及「D-Link」在進行實時動態影像串流時使用即時傳輸協定(Real-Time Transport Protocol,RTP),但沒有對影片數據進行加密,駭客可輕易看到影片內容。而「reolink」透過mysimplelink連接用家Wi-Fi時,沒有進行身分驗證,沒有加密敏感資料。駭客可從普通文字檔中找到路由器的帳戶資料,增加資料外洩風險。
消委會提醒,選購和使用家居監控鏡頭時,應注意以下事項:
1. 不應購買沒有品牌或來歷不明的家居監控鏡頭。
2. 建立帳戶時密碼應有足夠強度及定期更改密碼,防止被輕易破解。若監控鏡頭由專人上門安裝及設置,切記在安裝後立即更改密碼。
3. 建議在有需要進行監控時才開啟應用程式及啟動鏡頭,完成後把應用程式及鏡頭關掉。
4. 應使用個人智能裝置登入鏡頭觀看畫面,不應以任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以免帳戶資料被記錄及盜取。
5. 應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動;亦應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞。
6. 若懷疑鏡頭內部系統曾被入侵或植入程式,宜修復一次官方韌體及將產品還原至出廠狀態,並可在重新安裝時建立全新帳戶及設定新密碼。