不少有家傭或動物的家庭,都會在家中設置監控鏡頭。消費者委員會 (以下簡稱消委會) 首次測試了市場上 10 款家用監控鏡頭的網絡安全,結果發現只有 1 款樣本符合歐洲的網絡安全標準,餘下 9 款均存有不同的網絡安全問題,例如未能防禦駭客的「暴力攻擊」、傳送資料時沒有加密等。此外,其中有 6 款甚至可以透過應用程式存取智能設備的檔案,這構成了用戶私隱外洩的風險。
延伸閱讀 >> 消委會嬰幼兒潤膚乳測試 發現40款中5成半樣本含致敏物質
消委會家用監控鏡頭測試:10款IP CAM安全性及功能比較
消委會委託獨立實驗室參考 ETSI EN303 645及OWASP MASVS 標準,測試市場多款家用監控鏡頭的網絡安全表現,包括防攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計。全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa及Google Assistant語音控制等功能,售價由 HK$269至 HK$1,888不等。
樣本中的「arlo」需另購配件才能把影片儲存於 USB 記憶棒內,其餘款式的機身設有micro-SD記憶卡內插槽,插入記憶卡即可儲存影片。其中,有「arlo」、「imou」、「eufy」、「SpotCam」及「reolink」等5款具備基本防水功能,室內及戶外均可使用。此外,「arlo」、「SpotCam」及「reolink」內置充電池,使用更加方便。
消委會家用監控鏡頭測試揭安全漏洞:登出帳戶後仍可觀看影像串流 用戶開啟監控鏡頭的相關應用程式及登入帳戶後便可遙距監控家中的情況,而每次登入連接鏡頭時,都要先連接至生產商的伺服器,因此生產商能提供可靠又安全的連接服務至關重要。理論上,用戶應先登入已連接監控鏡頭的帳戶才可觀看實時動態影像串流(real-time video streaming)。然而測試發現,「reolink」在同一手機內的應用程式即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像,裝置存在網絡安全漏洞。
家用監控鏡頭測試結果 1:樣本測試顯示 4 款家用監控鏡頭存在安全漏洞
消委會進行的家用監控鏡頭測試中,發現4款樣本未能防禦駭客的暴力攻擊。當中,「eufy」、「EZVIZ」及「D-Link」在實時動態影像串流時,駭客可透過暴力攻擊破解密碼。此外,「EZVIZ」及「D-Link」的預設密碼強度非常弱,易被駭客破解。此外,「SpotCam」的手機應用程式未限制帳戶登入次數,駭客可不斷重複嘗試登入以獲取帳戶資料。
消委會建議「eufy」、「SpotCam」、「EZVIZ」及「D-Link」的生產商應加強產品的實時動態影像串流及帳戶登入的安全設計,例如採用多重認證及限制嘗試密碼次數。同時,建議當來自同一IP地址的短時間多次登入失敗時,應封鎖帳戶一段時間,以防駭客進行暴力攻擊。
家用監控鏡頭測試 2:5 款樣本存取過多權限
另外,部分監控鏡頭的應用程式內嵌瀏覽器,讓用戶可直接瀏覽網頁,但其中 5 款樣本,包括包括「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」的 Android 版本內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可透過植入程式碼存取裝置內的檔案。當下載及完成安裝程式後,有關權限就會容許程式在毋須再經用戶同意下,自動存取相關資料,用戶亦無法知悉程式會如何及何時使用有關資料。
家用監控鏡頭測試 3:3 款監控鏡頭應用程式設計欠佳
消委會測試發現,在「TP-Link」、「BotsLab」及「EZVIZ」的應用程式登入版面輸入不存在的帳戶時,程式會彈出訊息顯示該帳戶不存在。這種設計欠佳,駭客可透過不斷嘗試找出真實存在的帳戶名單,進而攻擊。消委會建議生產商改善此問題,避免駭客利用漏洞進行攻擊。
在 10 款家用監控鏡頭,定價不過二千元。當中定價最高的 arlo Pro4 (HK$1,888) 獲最高評分;而定價最低的小米智能攝影機2K雲台版 (HK$269) ,獲得第二最高評分,側證價錢非選購家用監控鏡頭的最大考慮因素,反而是切合家中需要,以及留意以下提示,使用鏡頭時更有效保障家中私隱。
消委會提醒選購和使用家居監控鏡頭 5 大注意事項:
- 不應購買沒有品牌或來歷不明的產品,不但品質沒有保證,網絡安全亦未必完善;
- 建立帳戶時密碼應有足夠強度,例如長度不應少於8位,並混合大小楷字母、數字及特殊符號來提高密碼強度,以及定期更改,防止被輕易破解。若監控鏡頭由專人上門安裝及設置,切記在安裝後立即更改密碼;
- 建議在有需要進行監控時才開啟應用程式及啟動鏡頭,完成後建議把應用程式及鏡頭關掉。此外消費者應使用個人智能裝置登入鏡頭觀看畫面,不應以任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以免帳戶資料被記錄及盜取;
- 應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。此外亦應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞;
- 假如懷疑鏡頭內部系統曾被入侵或植入程式,建議修復一次官方韌體及將產品還原至出廠狀態,並可在重新安裝時建立全新帳戶及設定新密碼。
