家用監控鏡頭測試 9成「肥佬」不安全

（星島日報報道）在家安裝監控鏡頭本為求安心，但要小心成為私隱缺口。消委會測試10款家用監控鏡頭，發現只有1款符合歐洲的網絡安全標準，其餘9款均有不同的網絡安全隱患，包括沒有以加密方式傳送影像和資料、未能防禦黑客以「暴力攻擊」方式破解密碼等，而最便宜的鏡頭比起不少較貴價款式優勝。消委會提醒消費者，要為監控鏡頭設定足夠強度的密碼，亦要善用防火牆及網絡監察等功能。
監控鏡頭會直接將所拍的實時動態影像，串流至流動裝置。10款家居監控鏡頭樣本中，有5款樣本未有加密傳送資料，其中「imou」、「TP-Link」、 「EZVIZ」及「D-Link」只採用安全性較低的「即時傳輸協定」（RTP），數據傳送途中有機會受到黑客攻擊，可輕易窺探影片內容；「reolink」連接用家的Wi-Fi無綫網絡時，使用「超文本傳輸協定」（HTTP）傳送資料，但未有加密，黑客可從普通文字檔找到路由器帳戶資料。
重新登入　舊對話金鑰有效

另外，監控鏡頭的用戶每次登入時均要使用「對話金鑰」，用加密及解密傳送的資料。對話金鑰應會在中斷連接後失效，但消委會發現，「BotsLab」、「SpotCam」及「reolink」在重新登入時，用於上一次連接的對話金鑰仍然有效，若黑客偷取舊對話金鑰，即可連接鏡頭，偷窺室內影像；當中「reolink」在登出帳戶後，仍可看到鏡頭拍攝的實時影像。
消委會：密碼不應少於8字

全部10款鏡頭，用戶儲存在應用程式的資料都未經過加密，安全性不足。消委會建議用家選購有信譽的產品，設立密碼時不應少於8位，最好混合大小楷字母、數字及特殊符號。有5款監控鏡頭的手機應用程式存取過多權限，涉及「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」，如會讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等，令手機內的資料有機會外泄。

售價介乎269元至1888元的10款家居監控鏡頭樣本，最便宜的「小米Mi」，在防禦攻擊、資料傳送安全方面，獲總評3.5星，在所有樣本中排第二，可以媲美最貴及在今次測試唯一1款符合歐洲網絡安全標準，獲總評4星的「arlo」。

消委會總幹事黃鳳嫺表示，部分隱患屬較高風險，包括遭黑客「暴力攻擊」時容易被破解、傳輸資料時未有加密等，建議用戶檢視自己的密碼強度，可按平常使用習慣，自我評估是否需要更換監控鏡頭。她又提醒消費者在不使用鏡頭時記得關上，減少私隱外泄風險。她又呼籲消費者在選購前留意有關鏡頭的資料，包括有否通過歐盟標準，文本傳送協定的安全程度等。

消委會研究及試驗小組副主席雷永昌指，香港暫時未有法例監控鏡頭，但新加坡及美國等已推出物聯網裝置的網絡安全標籤認證計畫，建議政府可參考不同國家的做法。