消委會|消委會IP CAM|消委會家用監控鏡頭評測|家用監控鏡頭已成為許多家庭常見的安全工具。然而,消委會早前測試揭示令人擔憂的事實:在市場上流通的多款家用監控鏡頭存在嚴重的安全漏洞,這些漏洞可能導致家庭私密影像被未經授權的外部侵入者窺探甚至公開!即睇消委會對10款家居監控鏡頭的詳情。
即刻【按此】,用 App 睇更多產品開箱影片
消委會家用監控鏡頭|10款鏡頭最平$269
消委會是次測試的監控鏡頭的售價從269港元到1,888港元不等,涵蓋從入門級到高端的多個價格段。消委會參考歐洲標準ETSI EN 303 645及工業標準OWASP MASVS測試,測試項目包括防攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計5項。
消委會家用監控鏡頭|5款傳送資料無加密
監控鏡頭的應用程式,會直接將鏡頭拍攝所得的實時動態影像串流至流動裝置。消委會發現有4款(「imou」、「TP-Link」、「EZVIZ」、「D-Link」)未有將影片數據加密,受攻擊時駭客可輕易窺探影片內容;至於「reolink」在透過mysimplelink服務連接用家的Wi-Fi無線網絡時亦未有將敏感資料加密,駭客可從普通文字檔找到路由器(router)的帳戶資料,資料存有外洩風險。
消委會家用監控鏡頭|3款難防駭客攻擊
若有駭客試圖入侵,密碼愈長且愈複雜,所需的破解時間便會愈長。測試發現,有3款在進行實時動態影像串流時,駭客可透過自動化工具和程式展開「暴力攻擊」,透過反覆試驗所有可能的密碼組合,試圖破解密碼,並有2款的預設密碼只有6位數字或字母,強度非常低,較容易讓駭客破解。
利用遙距監控家中情況時,理論上用戶必須先登入已連接鏡頭的帳戶才可觀看實事影像,惟消委會發現1款於同一手機內的應用程式即使已登出帳戶或登入另一個帳戶後,仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像,裝置存在網絡安全漏洞。另一方面,消委會發現其中3款樣本,用於上一次連接的對話金鑰在下一次連接時仍然有效,舊有的對話金鑰如被洩露或被人連接鏡頭。
總結而言,10個樣本裡面僅「arlo」獲4星總評,其防攻擊能力、安全性及保密性表現相對理想。
消委會家用監控鏡頭|10款鏡頭評分
| 產品名稱 | 售價 | 評分 |
| arlo Pro 4 | $1,888 | 4星 |
| 小米MJSXJ09CM | $269 | 3.5星 |
| imou IPC-F88FIP-V2 | $1,380 | 3星 |
| TP-Link Tapo C210 | $319 | 3星 |
| BotsLab P4 Pro | $598 | 3星 |
| eufy T8441X | $899 | 3星 |
| SpotCam Solo 2 | $1,270 | 2.5星 |
| EZVIZ CS-C6 | $630 | 2星 |
| reolink Argus 3 Pro | $959 | 2星 |
| D-Link DCS-8350LH | $699 | 2星 |
消委會家居監控鏡頭|8大選購及使用貼士
- 不應購買沒有品牌或來歷不明的產品,不但品質沒有保證,網絡安全亦未必完善
- 建立帳戶時密碼應有足夠強度,例如長度不應少於8位,並混合大小楷字母、數字及特殊符號來提高密碼強度,以及定期更改,防止被輕易破解。
- 若監控鏡頭由專人上門安裝及設置,切記在安裝後立即更改密碼;
- 建議在有需要進行監控時才開啟應用程式及啟動鏡頭,完成後建議把應用程式及鏡頭關掉。
- 應使用個人智能裝置登入鏡頭觀看畫面,不應以任何公用及沒有管理權限的裝置登入帳戶,亦應避免使用公共無線網絡Wi-Fi進行監控,以免帳戶資料被記錄及盜取;
- 應善用防火牆、網絡監察及活動紀錄等功能,經常查看紀錄以偵測可疑活動。
- 應不時檢查及更新韌體(firmware),以保持產品良好運作及修補安全漏洞;
- 如懷疑鏡頭內部系統曾被入侵或植入程式,建議修復一次官方韌體及將產品還原至出廠狀態,並可在重新安裝時建立全新帳戶及設定新密碼。
Source:港生活