加入最愛專欄  收藏文章 

2023-03-16Text: Edith

消委會測試|9成家用監控鏡頭有網絡安全隱患!易被駭客入侵、私隱影片外洩!邊款係唯一推薦?邊款問題最嚴重?(附詳細評分名單)

3樣本終斷連接後「對話金鑰」仍有效!

 

  消委會又指,在正常情況下,用戶每次登入連接鏡頭時均會使用新對話金鑰(sessionkey),以加密及解密互相傳送的資料及數據,當中斷連接後便會失效。惟測試發現「BotsLab」、「SpotCam」及「reolink」用於上一次連接的對話金鑰仍然有效,若駭客成功偷取舊有的對話金鑰,便可連接鏡頭。

 

  另外,「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時,駭客可透過試誤法(trialanderror)等暴力攻擊(bruteforceattack),透過反覆試驗所有可能的密碼組合以獲得密碼。

 

BotsLab indoor cam pan & tilt P4-Pro (官網圖片)

 

  測試還發現,「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用即時傳輸協定(Real-timeTransportProtocol)來進行實時動態影像串流,沒有把影片數據進行加密,有機會受到中間人攻擊(maninthemiddleattack),駭客可輕易窺探影片內容!另外,「reolink」透過mysimplelink服務連接用家的Wi-Fi無線網絡時,沒有進行身分驗證,只使用超文本傳輸協定(HyperTextTransferProtocol)傳送資料,沒有把敏感資料加密,駭客可從普通文字檔找到路由器的帳戶資料,存有洩風險。

 

網上圖片

 

沒有封鎖存取檔案權限=敏感資料會外洩

 

  消委會亦指出,「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」Android版本的應用程式內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可植入程式碼以存取裝置檔案,令用戶私隱外洩。另外,「小米Mi」、「imou」、「eufy」及「D-Link」iOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript,駭客可進行跨網站指令碼攻擊(CrossSiteScripting,簡稱XSS)存取檔案位置。

 

小米智能攝影機2K雲台版(官網圖片)

 

  測試同時檢視了應用程式的Android及iOS版本所要求的權限,發現「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」的應用程式存取權限過多,而當中部分樣本存取的資料亦較為敏感,例如讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,裝置內的敏感資料有機會因而外洩。

 

imou Knight Outdoor Smart Security camera(網上圖片)

 

下一頁:即睇家居監控鏡頭測試總評分、選購及使用貼士

 

 

 《經濟通》所刊的署名及/或不署名文章,相關內容屬作者個人意見,並不代表《經濟通》立場,《經濟通》所扮演的角色是提供一個自由言論平台。

樂本健【年度感謝祭】維柏健及natural Factors全線2件7折► 了解詳情

更多小薯茶水間文章
你可能感興趣
#打工仔 #安全隱患 #駭客 #Cam #消委會 #TP-Link #網絡安全 #EZVIZ #私隱外洩 #暴力攻擊 #XSS #消委會報告 #SpotCam #指令碼攻擊 #消委會測試 #eufy #存取檔案權限 #BotsLab #敏感資料 #超文本傳輸協定 #資料外洩 #家用監控鏡頭 #影片外洩 #HyperTextTransferProtocol #加密 #arlo #reolink #影片數據 #動態影像串流 #小米 #bruteforceattack #trialanderror #試誤法 #imou #拍攝 #Mi #D-Link #對話金鑰
編輯推介
即時報價
全文搜索
Search
最近搜看
大國博弈
回顧24 展望25
More
Share