消委會測試市面上10款家用監控鏡頭的網絡安全,發現當中9款均有不同的網絡安全隱患,包括未有以加密方式傳送影像和資料,傳送期間有機會令資料外洩;部分監控鏡頭的應用程式在儲存用戶資料方面安全度不足,存取的權限過多。消委會提醒,市民要為監控鏡頭設定有足夠強度的密碼,亦要善用防火牆及網絡監察等功能。
消委會測試的10款家居監控鏡頭樣本,售價介乎269元至1888元,當中只有1款符合歐洲的網絡安全標準。監控鏡頭會直接將所拍的實時動態影像,串流至流動裝置,消委會測試發現5款樣本未有加密傳送資料,其中「imou」、「TP-Link」、 「EZVIZ」及「D-Link」只採用安全性較低的「即時傳輸協定」(RTP),數據傳送途中有機會受到駭客攻擊,可輕易窺探影片內容;「reolink」連接用家的 Wi-Fi無線網絡時,使用「超文本傳輸協定」(HTTP)傳送資料,但未有加密,故駭客可從普通文字檔找到路由器的帳戶資料。
另外,監控鏡頭的用戶每次登入時均要使用「對話金鑰」,用加密及解密傳送的資料。對話金鑰應會在中斷連接後失效,但消委會發現「BotsLab」、「SpotCam」及「reolink」重新登入時,用於上一次連接的對話金鑰仍然有效,若駭客偷取舊對話金鑰,即可連接鏡頭,偷窺室內影像;當中「reolink」在登出帳戶後,仍可看到鏡頭拍攝的實時影像。
消委會總幹事黃鳳嫺稱,部分隱患屬較高風險,包括遭駭客「暴力攻擊」時容易被破解、傳輸資料時未有加密等,建議用戶檢視自己的密碼強度,可按平常使用習慣,自我評估是否需要更換監控鏡頭。
5款手機應用程式存取過多權限
測試結果亦顯示,全部10款樣本在手機應用程式內儲存資料時安全性均不足,沒有使用加密技術保護,只將電郵地址、帳戶名稱或密碼等資料儲存於普通文字檔。消委會亦認為有5款監控鏡頭的手機應用程式存取過多權限,涉及「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」,如會讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,令手機內的資料有機會外泄。
消委會建議政府推出適合本港的物聯網裝置的網絡安全標籤認證計劃,而市民應在有需要監控時才開啟應用程式及啟動鏡頭,完成後建議關掉鏡頭,同時亦不應以任何公用及沒有管理權限的裝置登入帳戶,要避免使用公共無線網絡 Wi-Fi 監控。消委會又提醒,用戶應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞。