消委會評測10款家用監控鏡頭 九成存漏洞 $269小米評分第2（附5大安全貼士）

【消委會/監控鏡頭/IP Cam】「智能家居」近年愈趨普及，不少家庭都會安裝家用監控鏡頭（IP Cam），被視為保障家居安全的智能裝置。而當中網絡安全尤為重要，否則影像及個人敏感資料便有可能外洩構成私隱等安全風險。消委會今日（15日）發表報告指，測試了市面上10款家用監控鏡頭的網絡安全，發現只有1款符合歐洲網絡安全標準，其餘9款均有不同程度的網絡安全隱患。

消委會評測10款IP Cam

消委會評測10款IP Cam

1. arlo

2. 小米

3.imou

4.TP-Link

5.BotsLab

6.eufy

7.SpotCam

8.EZVIZ

9.reolink

10.D-Link

測試的 10 款家居監控鏡頭樣本，售價介乎$269 至$1,888。（消委會提供）

消委會提醒用家5大網絡安全隱患。（消委會提供）

全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及 Google Assistant 語音控制等功能。（消委會提供）

10 款家居監控鏡頭樣本的比較一覽圖。（消委會月刊截圖）

消委會指9成不符歐洲網絡安全標準促生產商改善和加強監管。（消委會月刊截圖）

小米IP Cam價錢最平 評分排第2

是次測試的10款家居監控鏡頭樣本，包括arlo、小米、imou、TP-Link、BotsLab、eufy、SpotCam、EZVIZ、reolink，以及D-Link， 售價介乎$269至$1,888。全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa 及 Google Assistant語音控制等功能。當中9款的安全隱患包括沒有以加密方式傳送影像和資料、未能防禦駭客以「暴力攻擊」（brute force attack）方式破解密碼等。

另外，監控鏡頭的應用程式在儲存用戶資料方面安全度不足，當中半數樣本可透過Android版本應用程式存取用戶裝置中的檔案，而部分應用程式存取的權限亦過多，包括會讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等，裝置內的資料有機會外洩。

此外報告指出，小米「智能攝影機2K雲台版」MJSXJ09CM鏡頭，零售價約為$269，是10款中最便宜，但獲得的總評卻是第二高，防攻擊能力、資料傳送安全性亦是各款中最佳。

5款IP Cam傳送影像或資料沒加密 駭客易竊探

測試發現，其中4款樣本（imou、TP-Link、EZVIZ、D-Link ）在傳輸影像時，沒有使用可提供數據加密和訊息認證的「安全即時傳輸協定」（SRTP），只採用安全性較低的「即時傳輸協定」（RTP），過程中沒有將影片數據加密，傳送途中有機會受到駭客攻擊，能輕易窺探影片內容。

另外1款樣本（reolink）連接用家Wi-Fi時，使用「超文本傳輸協定」（HTTP）傳送資料，沒有把敏感資料加密，駭客可以從普通文字檔找到路由器的帳戶資料。若生產商改用安全性較高的「超文本傳輸安全協定」（HTTPS），可為用戶提供更大的私隱保障。

駭客透過「暴力攻擊」破解密碼 6位數密碼易被破解

測試發現，有3款樣本（eufy、EZVIZ、D-Link）在進行實時動態影像串流時，駭客可透過自動化工具和程式展開「暴力攻擊」，透過試誤法（Trial & Error）反覆試驗所有可能的密碼組合，試圖破解密碼。

當中有 2 款（EZVIZ、D-Link）的預設密碼只有 6 位數字或字母，強度非常低，較容易讓駭客破解，而竊取影片。另外，當使用「 SpotsCam」的手機應用程式登入帳戶時，駭客可「無限制」地不斷重複嘗試以竊取帳戶資料。

3款IP Cam重新登入時舊有金鑰仍有效

測試結果發現其中3款樣本（BotsLab、SpotCam、reolink）在重新登入連接鏡頭時，用於上一次連接的對話金鑰仍然有效，假如駭客成功偷取舊的對話金鑰，即可連接鏡頭，偷窺室內影像。

當中有1款（reolink）更可於同一手機內的應用程式登出帳戶或登入另一個帳戶後，仍然可以看到監控鏡頭拍攝所得的實時影像，存在安全漏洞。

IP Cam應用程式儲存資料安全度不足

部分監控鏡頭的應用程式內嵌瀏覽器，讓用戶可直接瀏覽網頁，但其中 5 款樣本（imou、TP-Link、eufy、EZVIZ、D-Link）Android 版本的內嵌瀏覽器沒有封鎖存取檔案的權限，駭客可透過植入程式碼存取裝置內的檔案。

另有5款樣本（小米、imou、BotsLab、eufy、EZVIZ）的手機應用程式存取過多權限，部分樣本存取的資料較為敏感，例如會讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等，裝置內的資料有機會外洩。

消委會IP Cam5大安全建議

不應購買沒有品牌或來歷不明的產品，不但品質沒有保證，網絡安全亦未必完善。（消委會影片截圖）

建立帳戶時密碼應有足夠強度，以及定期更改，防止被輕易破解。（消委會影片截圖）

應善用防火牆、網絡監察及活動紀錄等功能，經常查看紀錄以偵測可疑活動。（消委會影片截圖）

應避免使用公共無線網絡 Wi-Fi 進行監控，以免帳戶資料被記錄及盜取。（消委會影片截圖）

應不時檢查及更新韌體（firmware），以保持產品良好運作及修補安全漏洞。（消委會影片截圖）

 

 

1. 不應購買沒有品牌或來歷不明的產品，不但品質沒有保證，網絡安全亦未必完善。
2. 建立帳戶時密碼應有足夠強度，以及定期更改，防止被輕易破解。
3. 應善用防火牆、網絡監察及活動紀錄等功能，經常查看紀錄以偵測可疑活動。
4. 應避免使用公共無線網絡 Wi-Fi 進行監控，以免帳戶資料被記錄及盜取。
5. 應不時檢查及更新韌體（firmware），以保持產品良好運作及修補安全漏洞。

消委會提醒用家：須知會所有傭工、訪客裝有鏡頭

消委會促請生產商改善產品的網絡安全，例如加入防禦暴力攻擊的設計及為影片及資料進行數據密。消費者為監控鏡頭設定密碼時亦要有足夠強度並且定期更改，以及善用防火牆及網絡監察等功能。

消委會亦提醒，根據私隱專員公署的指引，消費者若在家中安裝監控鏡頭，應知會包括家庭傭工在內的家中所有成員及訪客，亦須考慮監察的範圍和程度，並告知僱員有關監察活動的公開性、以及妥善處理攝錄紀錄的方法等。

同場加映︰消委會抽濕機評測

消委會抽濕機評測1. 飛利浦

 

消委會抽濕機評測2. 飛歌

消委會抽濕機評測3. PANASONIC

消委會抽濕機評測4. 惠而浦

消委會抽濕機評測5. 三菱電機

消委會抽濕機評測6. LG

消委會抽濕機評測7. TOSHIBA

消委會抽濕機評測8. 日立HITACHI

消委會抽濕機評測9. 小米

消委會抽濕機評測10. De'longhi

消委會抽濕機評測11. 金章牌

消委會抽濕機評測12. 開利CARRIER

消委會抽濕機評測13. 正負零

消委會抽濕機評測13. Imaflex

消委會相關報道︰https://bit.ly/3mWLrla

---

《星島申訴王》於3月1日隆重登場，節目為民請命抱不平、追蹤城中熱話，亦會搜羅溫情小故事。你申訴，我跟進，搵91999933，《星島申訴王》隨時候命！

立即報料: https://bit.ly/3IMunqd

你的獨家報料一旦被採用及報導，將獲得乙份獎品。

《星島頭條》APP經已推出最新版本，請立即更新，瀏覽更精彩內容：https://bit.ly/3yLrgYZ