【消委會】9成家用監控鏡頭不符歐洲網絡安全標準 4款未能防禦駭客暴力攻擊

社會

發布時間: 2023/03/15 10:23

最後更新: 2023/03/15 11:05

分享:

分享:

(資料圖片)

消費者委員會測試10款家用監控鏡頭的網絡安全,今(15日)公布結果,發現只有1款樣本符合歐洲的網絡安全標準,其餘9款均有不同的網絡安全隱患,包括沒有以加密方式傳送影像和資料、未能防禦駭客以「暴力攻擊」方式破解密碼等。

另外,監控鏡頭的應用程式在儲存用戶資料方面安全度不足,當中半數樣本可透過Android版本應用程式存取用戶於智能裝置中的檔案,而部分應用程式存取的權限亦過多。

消委會促請生產商加入防禦暴力攻擊的設計及為影片及資料進行數據加密。消費者為監控鏡頭設定足夠強度的密碼,並且定期更改,以及善用防火牆及網絡監察等功能。

今次測試的10款家居監控鏡頭樣本,售價介乎$269至$1,888,全部樣本均提供雙向語音對話、移動偵測、夜視等功能。消委會委託獨立實驗室參考歐洲標準ETSI  EN  303  645及工業標準OWASP  MASVS測試樣本的網絡安全,包括防攻擊能力、資料傳送及應用程式安全性等。

5款鏡頭傳送影像或資料沒加密駭客易竊探

監控鏡頭的應用程式,會直接將鏡頭拍攝所得的實時動態影像,串流至流動裝置,方便用戶透過應用程式實時監察情況。測試發現,其中4款樣本包括 「 imou 」、「 TP - Link 」、「EZVIZ」及「D-Link」,在傳輸影像時,沒有使用可提供數據加密和訊息認證的「安全即時傳輸協定」(SRTP),只採用安全性較低的「即時傳輸協定」(RTP),過程中沒有將影片數據加密,傳送途中有機會受到駭客攻擊,輕易窺探影片內容。

另外,「reolink」樣本連接用家的Wi-Fi無線網絡時,使用「超文本傳輸協定」(HTTP)傳送資料,沒有把敏感資料加密,駭客可以從普通文字檔找到路由器的帳戶資料。若生產商改用安全性較高的「超文本傳輸安全協定」(HTTPS),可為用戶提供更大的私隱保障。

4款樣本未能防禦駭客的暴力攻擊

測試亦發現,「eufy」、「EZVIZ」及「D -Link」樣本在進行實時動態影像串流時,駭客可透過自動化工具和程式展開「暴力攻擊」,透過反覆試驗所有可能的密碼組合,試圖破解密碼,當中「EZVIZ」及「D -Link」的預設密碼只有6位數字或字母,強度非常低,較容易讓駭客破解,繼而竊取影片。另1款監控鏡頭則在使用手機應用程式登入帳戶時,駭客可不斷地重複嘗試以竊取帳戶資料。

3款鏡頭重新登入帳戶時 舊有對話金鑰仍有效

用戶每次登入連接鏡頭時均會使用相當於臨時密碼的對話金鑰,用以將傳送的資料和數據加密及解密。對話金鑰會在中斷連接後失效,當用戶再次登入時,會使用一個新的對話金鑰。不過,測試結果發現其中「BotsLab」、「 SpotCam 」及「reolink」樣本在重新登入連接鏡頭時,用於上一次連接的對話金鑰仍然有效,假如駭客成功偷取舊的對話金鑰,即可連接鏡頭,偷窺室內影像。其中「reolink」更可於同一手機內的應用程式登出帳戶或登入另一個帳戶後,仍然可以看到監控鏡頭拍攝所得的實時影像,存在安全漏洞。

應用程式儲存資料安全度不足 敏感資料有外洩風險

測試結果亦顯示,全部10款樣本在應用程式內儲存資料時,安全性均不足夠,例如將電郵地址、帳戶名稱或密碼等敏感資料,儲存於普通文字檔,卻沒有使用加密技術保護,相關資料要相隔一段時間後才會移除,令駭客有機可乘。

最新影片推介

HKETAPP健康台更多都市疾病影片:https://bit.ly/3cNFwr7

hketApp已全面升級,TOPick為大家推出一系列親子、健康、娛樂、港聞及休閒生活資訊及Video。立即下載:https://bit.ly/34FTtW9

記者:陳麗娜