消委會:10款家用監控鏡頭 9款有網絡安全問題
消委會測試市面10款家用監控鏡頭的網絡安全,發現有9款有不同的網絡安全隱患,包括沒有以加密方式傳送影像和資料、未能防禦駭客以「暴力攻擊」方式破解密碼等。另外,監控鏡頭的應用程式在儲存用戶資料方面安全度不足,當中半數樣本可透過Android版本應用程式存取用戶於智能裝置中的檔案,而部分應用程式存取的權限亦過多。
消委會抽查10個樣本,售價介乎$269至$1,888,全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及Google Assistant語音控制等功能。消委會委託獨立實驗室參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS測試此10款樣本的網絡安全,包括防攻擊能力、資料傳送及應用程式安全性、儲存資料保密性,以及硬件設計。
監控鏡頭的應用程式會直接將鏡頭拍攝所得的實時動態影像,串流至流動裝置,其中4款樣本在傳輸影像時,沒有使用可提供數據加密和訊息認證的「安全即時傳輸協定」(SRTP),只採用安全性較低的「即時傳輸協定」(RTP),過程中沒有將影片數據加密,傳送途中有機會受到駭客攻擊,能輕易窺探影片內容。另外1款樣本連接用家的Wi-Fi無線網絡時,使用「超文本傳輸協定」(HTTP)傳送資料,沒有把敏感資料加密,駭客可以從普通文字檔找到路由器的帳戶資料。若生產商改用安全性較高的「超文本傳輸安全協定」(HTTPS),可為用戶提供更大的私隱保障。
測試又發現,有3款樣本在進行實時動態影像串流時,駭客可透過自動化工具和程式展開「暴力攻擊」,透過反覆試驗所有可能的密碼組合,試圖破解密碼,當中有2款的預設密碼只有6位數字或字母,強度非常低,較容易讓駭客破解,繼而竊取影片。另1款監控鏡頭則在使用手機應用程式登入帳戶時,駭客可不斷地重複嘗試以竊取帳戶資料。
全部10款樣本在應用程式內儲存資料時,安全性均不足夠,例如將電郵地址、帳戶名稱或密碼等敏感資料,儲存於普通文字檔,卻沒有使用加密技術保護,相關資料要相隔一段時間後才會移除,令駭客有機可乘。