承印:觀傳媒集團有限公司   地址:香港灣仔駱克道283號華興商業大廈1001室

消委會|10款家用監控鏡頭 僅$1,888「arlo」符網絡安全

-

消委會|10款家用監控鏡頭 僅$1,888「arlo」符網絡安全

「智能家居」近年愈趨普及,不少家庭都會安裝家用監控鏡頭,用家可隨時隨地透過智能裝置觀看家中小孩或寵物情況,亦可直接隔空對話及儲存攝錄影像。消委會發現市面10款家用監控鏡頭,只有售價為1,888元「arlo」牌的家居監控鏡頭符合歐洲的網絡安全標準,其防攻擊能力、資料傳送安全性等都獲5分滿分。其餘品牌包括「小米Mi」、「imou」、「TP-Link」、「BotsLab」、「eufy」、「SpotCam」、「EZVIZ」、「reolink」及「D-Link」都存在安全漏洞,例如沒有以加密方式傳送影像和資料、未能防禦駭客以「暴力攻擊」方式破解密碼等。當中「reolink」,即使已登出其應用程式帳戶,仍可看到實時監控影像,明顯存在安全漏洞。

消委會測試的10款家居監控鏡頭樣本,售價介乎$269 至$1,888,全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及 Google Assistant 語音控制等功能。

消委會測試中得分最高的「arlo Pro 4」 售$1,888 (左)及最二高分的「小米Mi 智能攝影機2K雲台版」售$269 (右)
消委會測試中得分最高的「arlo Pro 4」 售$1,888 (左)及最二高分的「小米Mi 智能攝影機2K雲台版」售$269 (右)
消委會製圖
消委會製圖

5 款鏡頭傳送影像或資料沒加密 駭客易竊探

用家一般透過監控鏡頭的應用程式實時收看鏡頭的影像,但測試發現「imou」、「TP-Link」、「EZVIZ」、「D-Link」及「reolink」沒有把影片數據或資料加密,用戶有機會受到中間人攻擊,駭客可輕易偷看影片或取得帳戶資料。

3 款鏡頭斷線後 舊有「對話金鑰」仍有效

一般來說用家每次登入連接鏡頭時均會使用相當於臨時密碼的對話金鑰,用以將傳送的資料和數據加密及解密,每次連接都會收到新的對話金鑰,舊有的會失效。不過測試發現「BotsLab」、「SpotCam」及「reolink」用於上一次連接的舊有的對話金鑰仍然有效,假如駭客成功偷取舊的對話金鑰,即可連接鏡頭偷看。另外,「eufy」、「EZVIZ」及「D-Link」串流時,駭客可透過試誤法等暴力攻擊,透過反覆試驗所有可能的密碼組合以獲得密碼。 

當中「reolink」情況最為嚴重,用家即使已登出其應用程式帳戶,仍可看到實時監控影像,明顯存在安全漏洞。

應用程式儲存資料安全度不足

消委會發現全部10款樣本在應用程式內儲存資料時,安全性均不足夠,例如將電郵地址、帳戶名稱或密碼等敏感資料,儲存於普通文字檔,卻沒有使用加密技術保護,相關資料要相隔一段時間後才會移除,令駭客有機可乘。

部份樣本的手機應用程式存取過多權限,例如會讀取裝置上的行事曆、帳戶資 料、用戶正在使用的應用程式等,裝置內的資料有機會外洩,消委會提醒消費者安裝前要小心留意。