消委會｜市售10款家用監控鏡頭　僅arlo符網絡安全標準售近2000元

撰文：馬煒傑

出版：2023-03-15 10:00更新：2023-03-15 16:12

不少人都會在家中安裝家用監控鏡頭，時刻監察家中情況。消委會調查發現市面有售的10款家用監控鏡頭，9款都存在安全漏洞，只有1款產品符合歐洲的網絡安全標準，當中最嚴重是「reolink」，其手機內應用程式即使已登出帳戶或登入另一個帳戶後，仍可看到已登出帳戶所連接的監控鏡頭實時動態影像，明顯存在網絡安全漏洞。
其餘鏡頭亦有不同的漏洞風險，例如未能防禦駭客的「暴力攻擊」、傳送資料時沒有加密等。此外監控鏡頭的應用程式亦有待改善，全部樣本儲存用戶資料均不夠安全，當中6款更可透過應用程式存取智能裝置的檔案，用戶私隱有外洩風險。

消委會調查發現市面有售的10款家用監控鏡頭，9款都存在安全漏洞，只有1款產品符合歐洲的網絡安全標準。（歐嘉樂攝）

消委會委託獨立實驗室參考ETSIEN303645及OWASPMASVS標準測試市面10款家居監控鏡頭的網絡安全表現，包括防攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計。各樣本的售價由269元至1,888元，全部都提供雙向語音對話、移動偵測、夜視、AmazonAlexa及GoogleAssistant語音控制等功能。

+4

「reolink」樣本網絡安全問題最嚴重

測試結果發現，10款家用監控鏡頭中只有售價為1,888元「arlo」牌的家居監控鏡頭符合歐洲的網絡安全標準，其防攻擊能力、資料傳送安全性等都獲5分最高分。而其餘品牌包括「小米Mi」、「imou」、「TP-Link」、「BotsLab」、「eufy」、「SpotCam」、「EZVIZ」、「reolink」及「D-Link」的樣本均出現不同的網絡安全問題，當中最嚴重是「reolink」，其手機內應用程式即使已登出帳戶或登入另一個帳戶後，仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像，裝置存在網絡安全漏洞。

「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時，駭客可透過試誤法等暴力攻擊，透過反覆試驗所有可能的密碼組合以獲得密碼。（消委會截圖）

3樣本終斷連接後「對話金鑰」仍有效

消委會又指正常而言，用戶每次登入連接鏡頭時均會使用新對話金鑰（sessionkey），以加密及解密互相傳送的資料及數據，當中斷連接後便會失效，惟測試發現「BotsLab」、「SpotCam」及「reolink」用於上一次連接的對話金鑰仍然有效，若駭客成功偷取舊有的對話金鑰，便可連接鏡頭。另外，「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時，駭客可透過試誤法（trialanderror）等暴力攻擊（bruteforceattack），透過反覆試驗所有可能的密碼組合以獲得密碼。

「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用即時傳輸協定來進行實時動態影像串流，沒有把影片數據進行加密，有機會受到中間人攻擊，駭客可輕易窺探影片內容。（消委會截圖）

測試還發現，10款樣本當中有5款沒有加密傳送，當中「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用即時傳輸協定（Real-timeTransportProtocol）來進行實時動態影像串流，沒有把影片數據進行加密，有機會受到中間人攻擊（maninthemiddleattack），駭客可輕易窺探影片內容。

另外，「reolink」透過mysimplelink服務連接用家的Wi-Fi無線網絡時，沒有進行身分驗證，只使用超文本傳輸協定（HyperTextTransferProtocol）傳送資料，沒有把敏感資料加密，駭客可從普通文字檔找到路由器的帳戶資料，存有洩風險。

5樣本沒有封鎖存取檔案權限

消委會亦指出，「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」Android版本的應用程式內嵌瀏覽器沒有封鎖存取檔案的權限，駭客可植入程式碼以存取裝置檔案，令用戶私隱外洩。另外，「小米Mi」、「imou」、「eufy」及「D-Link」iOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript，駭客可進行跨網站指令碼攻擊（CrossSiteScripting，簡稱XSS）存取檔案位置。

測試同時檢視了應用程式的Android及iOS版本所要求的權限，發現5款樣本包括「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」的應用程式存取權限過多，而當中部分樣本存取的資料亦較為敏感，例如讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等，裝置內的敏感資料有機會因而外洩。

曾劍鋒（右）認為測試的部分家用監控鏡頭樣本的網絡安全問題較大，例如非授權服務器訪問、不安全數據傳輸、不安全數據加密，對消費者構成的可能風險包括隱私洩露、手機數據洩露等（李慧妍攝/資料圖片）

專家：只能促請生產商改善網絡安全

香港城市大學電子工程系副教授曾劍鋒認為，測試的部分家用監控鏡頭樣本的網絡安全問題較大，例如非授權服務器訪問、不安全數據傳輸、不安全數據加密，對消費者構成的可能風險包括隱私洩露、手機數據洩露等。

他指由於家用監控鏡頭的產品設計及應用程式均由生產商負責，故只能促請生產商改善產品的網絡安全，而消費者只能倚賴生產商提高產品質素。即使消費者可善用防火牆及漏洞掃瞄等工具以改善網絡安全，惟該等措施亦未能完全解決網絡安全的漏洞。

消委會今年接獲1宗家用監控鏡頭投訴

消委會去年接獲2宗家用監控鏡頭的投訴，較2021年的9宗大幅減少7宗，今年首兩個月有1宗，去年同期亦接獲1宗。

消委會建議消費者不應購買沒有品牌或來歷不明的產品，除了品質沒有保證外，網絡安全未必很完善，若監控鏡頭由專人上門安裝及設置，安裝後應立即更改密碼。另外，亦應在有需要時，才開啟應用程式及啟動鏡頭，完成後建議把應用程式及鏡頭關掉，並且不應使用任何公用及沒有管理權限的裝置登入帳戶，亦應避免使用公共無線網絡Wi-Fi進行監控，以防帳戶資料被暗中記錄及盜取。

消委會｜13款肉乾肉鬆樣本含可致癌物　美珍香牛肉乾PAHs含量最高紅黃碼私隱問題惹關注　資科辦：自動轉藍碼　不存在個人私隱風險智能車隊管理系統助減6成的士意外　車廂裝攝錄機或侵犯個人私隱【個人私隱】個人資料難定義　港規管仍停留在前互聯網時代【個人私隱】你的數據不是你的　個人私隱保障成疑間諜程式急飆警揭563個手機木馬程式　監控錄音讀定位　5招保平安

消委會測家用監控鏡頭詳情?

消委會調查發現市面有售的多款家用監控鏡頭，9成存在安全漏，只有1款產品符合歐洲的網絡安全標準。

有那些家用監控鏡頭有安全漏洞?

家用監控鏡頭有不同的安全漏洞，多個品牌名單請看。

消委會測試調查