消委會：10款家用監控鏡頭 9款有網絡安全問題

 

消委會測試市面10款家用監控鏡頭的網絡安全，發現有9款有不同的網絡安全隱患，包括沒有以加密方式傳送影像和資料、未能防禦駭客以「暴力攻擊」方式破解密碼等。另外，監控鏡頭的應用程式在儲存用戶資料方面安全度不足，當中半數樣本可透過Android版本應用程式存取用戶於智能裝置中的檔案，而部分應用程式存取的權限亦過多。

消委會抽查10個樣本，售價介乎$269至$1,888，全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及Google Assistant語音控制等功能。消委會委託獨立實驗室參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS測試此10款樣本的網絡安全，包括防攻擊能力、資料傳送及應用程式安全性、儲存資料保密性，以及硬件設計。

監控鏡頭的應用程式會直接將鏡頭拍攝所得的實時動態影像，串流至流動裝置，其中4款樣本在傳輸影像時，沒有使用可提供數據加密和訊息認證的「安全即時傳輸協定」（SRTP），只採用安全性較低的「即時傳輸協定」（RTP），過程中沒有將影片數據加密，傳送途中有機會受到駭客攻擊，能輕易窺探影片內容。另外1款樣本連接用家的Wi-Fi無線網絡時，使用「超文本傳輸協定」（HTTP）傳送資料，沒有把敏感資料加密，駭客可以從普通文字檔找到路由器的帳戶資料。若生產商改用安全性較高的「超文本傳輸安全協定」（HTTPS），可為用戶提供更大的私隱保障。

測試又發現，有3款樣本在進行實時動態影像串流時，駭客可透過自動化工具和程式展開「暴力攻擊」，透過反覆試驗所有可能的密碼組合，試圖破解密碼，當中有2款的預設密碼只有6位數字或字母，強度非常低，較容易讓駭客破解，繼而竊取影片。另1款監控鏡頭則在使用手機應用程式登入帳戶時，駭客可不斷地重複嘗試以竊取帳戶資料。

全部10款樣本在應用程式內儲存資料時，安全性均不足夠，例如將電郵地址、帳戶名稱或密碼等敏感資料，儲存於普通文字檔，卻沒有使用加密技術保護，相關資料要相隔一段時間後才會移除，令駭客有機可乘。