在最近的消委會報告中,測試了市面 10 款家用 IP CAM 的網絡安全部份。不過 10 款受測產品,僅有 1 款符合歐洲安全標準,其餘都存在各種網絡安全問題。
是次測試,消委會委託獨立實驗室,參考 ETSIEN303645及OWASPMASVS標準為受測產品作檢驗,測試包含抗攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計等幾個層面。測試產品售價介乎港幣 269 – 1,888 元。
而這些 IP CAM 監控鏡頭的 APP 可將實時畫面串流至流動裝置上,但當中 4 款包括 imou IPC-F88FIP-V2、TP-Link Tapo C210、EZVIZ CS-C6 及 D-Link DCS-8350LH,採用 簡稱RTP 協定來串流即時影像,其影片數據並無作加密處理,傳送過程或會到黑客攻擊,取得影像內容。實驗室建議救商改用 SRTP 協定傳送。而 reolink Argus 3 Pro 連接 WiFi 時,並無驗證身份,及僅以 HTTP 傳送資料,同樣是沒有加密處理影像。
另外,用於登入鏡頭的「對話金鑰」,本應於中斷連接後隨即失效。但消委會發現,BotsLab P4 Pro、SpotCam Solo 2 及 reolink Argus 3 Pro 於重新登入時,上一次連接的對話金鑰仍舊有效,若黑客取得舊有的對話金鑰,也可連接鏡頭。當中 reolink 的手機 APP 即使在登出帳戶或登入另一帳戶後,仍可看到已登出帳戶所連接鏡頭的實時畫面,存在網絡安全漏洞。
而受測的 eufy、EZVIZ 及 D-Link 的產品在直播串流時,黑客可透過「暴力攻擊」獲得密碼;另外 SpotCam 手機 APP 登入時,亦未有限制可登入次數,令黑客可不斷地重複嘗試登入破解帳號。
另外五款包括小米、imou、BotsLab、eufy 及 EZVIZ 的手機 APP 存取權限過多,部份更會存取較敏感的資料,如讀取行事曆、帳戶資料、用戶正使用的應用程式等。而全部樣本於 APP 內的儲存資料安全性不足,將用戶部份敏感資料如電郵地址、帳戶名稱或密碼等儲存在普通文字檔,一段時間後才移除,也無作加密處理,令黑客可輕易存取用戶資料。
