• |
  • 極速報價
  • |
  • etnet專輯
    etnet專輯
  • 會員
  • 產品服務 / 串流版
  • 設定

16/03/2023

消委會測試|9成家用監控鏡頭有網絡安全隱患!易被駭客入侵、私隱影片外洩!邊款係唯一推薦?邊款問題最嚴重?(附詳細評分名單)

  • 加入最愛專欄
  • 收藏文章
Text: Edith

3樣本終斷連接後「對話金鑰」仍有效!

 

  消委會又指,在正常情況下,用戶每次登入連接鏡頭時均會使用新對話金鑰(sessionkey),以加密及解密互相傳送的資料及數據,當中斷連接後便會失效。惟測試發現「BotsLab」、「SpotCam」及「reolink」用於上一次連接的對話金鑰仍然有效,若駭客成功偷取舊有的對話金鑰,便可連接鏡頭。

 

  另外,「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時,駭客可透過試誤法(trialanderror)等暴力攻擊(bruteforceattack),透過反覆試驗所有可能的密碼組合以獲得密碼。

 

BotsLab indoor cam pan & tilt P4-Pro (官網圖片)

 

  測試還發現,「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用即時傳輸協定(Real-timeTransportProtocol)來進行實時動態影像串流,沒有把影片數據進行加密,有機會受到中間人攻擊(maninthemiddleattack),駭客可輕易窺探影片內容!另外,「reolink」透過mysimplelink服務連接用家的Wi-Fi無線網絡時,沒有進行身分驗證,只使用超文本傳輸協定(HyperTextTransferProtocol)傳送資料,沒有把敏感資料加密,駭客可從普通文字檔找到路由器的帳戶資料,存有洩風險。

 

網上圖片

 

沒有封鎖存取檔案權限=敏感資料會外洩

 

  消委會亦指出,「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」Android版本的應用程式內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可植入程式碼以存取裝置檔案,令用戶私隱外洩。另外,「小米Mi」、「imou」、「eufy」及「D-Link」iOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript,駭客可進行跨網站指令碼攻擊(CrossSiteScripting,簡稱XSS)存取檔案位置。

 

小米智能攝影機2K雲台版(官網圖片)

 

  測試同時檢視了應用程式的Android及iOS版本所要求的權限,發現「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」的應用程式存取權限過多,而當中部分樣本存取的資料亦較為敏感,例如讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,裝置內的敏感資料有機會因而外洩。

 

imou Knight Outdoor Smart Security camera(網上圖片)

 

下一頁:即睇家居監控鏡頭測試總評分、選購及使用貼士

 

 

 《經濟通》所刊的署名及/或不署名文章,相關內容屬作者個人意見,並不代表《經濟通》立場,《經濟通》所扮演的角色是提供一個自由言論平台。

想要獨家投資理財Tips?即Like etnet 全新Facebook專頁► 立即讚好

我要回應

你可能感興趣

版主留言

放大顯示
師傅靈靈法
最緊要健康
精選文章
  • 生活
  • DIVA
  • 健康好人生
專業版
HV2
精裝版
SV2
串流版
IQ 登入
強化版
TQ
強化版
MQ