【創科廣場】傳送陌生人畫面 小米IP Cam急煞停

近年有不少關於IoT設備安全漏洞的新聞，尤其黑客可通過IP攝影機鏡頭，監察別人家居或公司活動，令人不寒而慄。

上星期Androidpolice.com網站報道，一位歐洲小米智能攝影機的用戶，接收到陌生人家居的影像，傳送到他的Google Nest Hub設備上。

據報用戶收到的影像，包括了牀上熟睡嬰兒、坐在椅子上老人、陌生人客飯廳的影像等。消息發布後，Google暫停了Google Home和Assistant對小米裝置連結，直至徹底查明及解決事件為止。

Google煞停Nest Hub連接

據用戶Dio-V在Reddit網站發布影片及資料，他所使用小米的米家1080p智能IP安全攝錄影機，同時連接到Google帳號上，透過家居Google Nest Hub設備，以直播攝錄機影像。

不過安裝完成後，米家攝錄影機並未能接收自己家中情況，反而播放隨機一些黑白影像，包括了上述片段。用戶表示這是全新郵購的小米IP Cam，而軟件亦是最新。影像上顯示的時間，有可能是在不同的時區傳送到他家中，亦有可能是設備商測試影像圖，不過一切仍未經小米或Google核實。

事發兩天後，上周五Google表示正在與小米，研究解決方案，但同時亦會關閉Google智能家居跟小米設備連結。

小米公司亦公布了事件的原因，是在十二月二十六日的軟件更新中，本為增強設備直播功能，卻引入問題。這次事故的出現十分罕見，而亦從未在小米任何的設備上出現過。目前的軟件已經修改了錯誤，而會進一步跟進和Google連接的問題。

Wyze亦爆出安全事故

無獨有偶，美國西雅圖智能家居和IP Cam生產商Wyze，十二月亦爆出了安全事故。他們的MySQL和ElasticSearch客戶數據庫，直接連至網上，引至二百萬多用戶資料外竊，包括用戶電郵資料，攝影機的IP地址，Wi-Fi的SSID，甚至跟其他家居設備如Alexa，Google Assistants等連接資料。

Wyze公司表示在十二月上旬，他們希望更有效地連接內部資訊，改變了數據庫的網絡架構，員工可能不小心删除安全恊議，引至資料外泄。黑客如利用這些資料，包括用戶的加密證書，Wyse的API及IP地址，有機會可以在互聯網任何的角落，利用視像窺探用戶的家居狀況，事態可能會十分嚴重。最快的補救方法，最好是用戶更改密碼及加密證書，重新連接其他設備。

十二月初，美國FBI亦曾針對IoT的安全發出呼籲，包括更改默認的帳號和密碼，和禁止IoT手機App讀取用戶資料等。

用戶應小心保護私隱

鑑於目前林林總總的IoT產品，可能以用戶未知的方式蒐集資料，再傳送至生產商或以外的其他地方，用戶應該小心保護自己的私隱。FBI提倡分格家居Wi-Fi網絡，IoT設備應和主要的電腦、手機等網絡分開，配置在獨立網絡運行，減低竊取用戶私隱機會。

其實在一般家居的路由器中，已可使用vLAN功能，家居網絡一分為二或更多，手機、電腦等裝個人資料的設備，放在同一網絡內，而IoT設備如Alexa，Google Assistants或小米設備等，則分隔配置另一網絡運行。

此外亦盡量更改IoT默認密碼，密碼跟其他設備不要一樣。不少IoT設備亦會同時推出手機App，用戶也要小心管理這類Apps使用權限，檢查或拒絕提供個人資料，例如用戶的地址簿等。

全文刊於《星島日報》「創科廣場」