港調查「家用監視器」9款資安出現漏洞 小米、TP-Link都上榜

▲香港消委會調查市面上10款家用監視器,發現有9款存在資安問題。(圖/香港01)

▲香港消委會調查市面上10款家用監視器,發現有9款存在資安問題。(圖/香港01,下同)

文/香港01

不少人都會在家中安裝家用監控鏡頭,時刻監察家中情況。香港消委會調查發現市面有售的10款家用監控鏡頭,9款都存在安全漏洞,只有1款產品符合歐洲的網路安全標準,當中最嚴重是「reolink」,其手機內應用程式即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭實時動態影像,明顯存在網路安全漏洞。

▲香港消委會調查市面上10款家用監視器,發現有9款存在資安問題。(圖/香港01)

其餘鏡頭亦有不同的漏洞風險,例如未能防禦駭客的「暴力攻擊」、傳送資料時沒有加密等。此外監控鏡頭的應用程式亦有待改善,全部樣本儲存用戶資料均不夠安全,當中6款更可透過應用程式存取智能裝置的檔案,用戶私隱有外洩風險。

香港消委會委託獨立實驗室參考ETSIEN303645及OWASPMASVS標準測試市面10款家居監控鏡頭的網路安全表現,包括防攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計。各樣本的售價由269元至1888元港元(約1047元至7351元新台幣),全部都提供雙向語音對話、移動偵測、夜視、AmazonAlexa及GoogleAssistant語音控制等功能。

▲香港消委會調查市面上10款家用監視器,發現有9款存在資安問題。(圖/香港01)

測試結果發現,10款家用監控鏡頭中只有售價為1888元(港元)「arlo」牌的家居監控鏡頭符合歐洲的網路安全標準,其防攻擊能力、資料傳送安全性等都獲5分最高分。

而其餘品牌包括「小米Mi」、「imou」、「TP-Link」、「BotsLab」、「eufy」、「SpotCam」、「EZVIZ」、「reolink」及「D-Link」的樣本均出現不同的網路安全問題,當中最嚴重是「reolink」,其手機內應用程式即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像,裝置存在網路安全漏洞。

港消委會又指,正常而言,用戶每次登入連接鏡頭時均會使用新對話金鑰(sessionkey),以加密及解密互相傳送的資料及數據,當中斷連接後便會失效,惟測試發現「BotsLab」、「SpotCam」及「reolink」用於上一次連接的對話金鑰仍然有效,若駭客成功偷取舊有的對話金鑰,便可連接鏡頭。

另外,「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時,駭客可透過試誤法(trialanderror)等暴力攻擊(bruteforceattack),透過反覆試驗所有可能的密碼組合以獲得密碼。

▲香港消委會調查市面上10款家用監視器,發現有9款存在資安問題。(圖/香港01)

測試還發現,10款樣本當中有5款沒有加密傳送,當中「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用即時傳輸協定(Real-timeTransportProtocol)來進行實時動態影像串流,沒有把影片數據進行加密,有機會受到中間人攻擊(maninthemiddleattack),駭客可輕易窺探影片內容。

另外,「reolink」透過mysimplelink服務連接用家的Wi-Fi無線網路時,沒有進行身分驗證,只使用超文本傳輸協定(HyperTextTransferProtocol)傳送資料,沒有把敏感資料加密,駭客可從普通文字檔找到路由器的帳戶資料,存有洩風險。

消委會亦指出,「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」Android版本的應用程式內嵌瀏覽器zxab 沒有封鎖存取檔案的權限,駭客可植入程式碼以存取裝置檔案,令用戶私隱外洩。
另外,「小米Mi」、「imou」、「eufy」及「D-Link」iOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript,駭客可進行跨網站指令碼攻擊(CrossSiteScripting,簡稱XSS)存取檔案位置。

測試同時檢視了應用程式的Android及iOS版本所要求的權限,發現5款樣本包括「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」的應用程式存取權限過多,而當中部分樣本存取的資料亦較為敏感,例如讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,裝置內的敏感資料有機會因而外洩。

香港城市大學電子工程系副教授曾劍鋒認為,測試的部分家用監控鏡頭樣本的網路安全問題較大,例如非授權服務器訪問、不安全數據傳輸、不安全數據加密,對消費者構成的可能風險包括隱私洩露、手機數據洩露等。

他指,由於家用監控鏡頭的產品設計及應用程式均由生產商負責,故只能促請生產商改善產品的網路安全,而消費者只能倚賴生產商提高產品質素。即使消費者可善用防火牆及漏洞掃瞄等工具以改善網絡安全,惟該等措施亦未能完全解決網絡安全的漏洞。

港消委會建議,消費者不應購買沒有品牌或來歷不明的產品,除了品質沒有保證外,網路安全未必很完善,若監控鏡頭由專人上門安裝及設置,安裝後應立即更改密碼。另外,亦應在有需要時,才開啟應用程式及啟動鏡頭,完成後建議把應用程式及鏡頭關掉,並且不應使用任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以防帳戶資料被暗中記錄及盜取。

【本文獲《香港01》授權轉載。】

分享給朋友:

※本文版權所有,非經授權,不得轉載。[ ETtoday著作權聲明 ]

相關新聞

讀者迴響

熱門新聞

最夯影音

更多

熱門快報

回到最上面