家用监控镜头测试 9成「肥佬」不安全

（星岛日报报道）在家安装监控镜头本为求安心，但要小心成为私隐缺口。消委会测试10款家用监控镜头，发现只有1款符合欧洲的网络安全标准，其馀9款均有不同的网络安全隐患，包括没有以加密方式传送影像和资料、未能防御黑客以「暴力攻击」方式破解密码等，而最便宜的镜头比起不少较贵价款式优胜。消委会提醒消费者，要为监控镜头设定足够强度的密码，亦要善用防火墙及网络监察等功能。
监控镜头会直接将所拍的实时动态影像，串流至流动装置。10款家居监控镜头样本中，有5款样本未有加密传送资料，其中「imou」、「TP-Link」、 「EZVIZ」及「D-Link」只采用安全性较低的「即时传输协定」（RTP），数据传送途中有机会受到黑客攻击，可轻易窥探影片内容；「reolink」连接用家的Wi-Fi无綫网络时，使用「超文本传输协定」（HTTP）传送资料，但未有加密，黑客可从普通文字档找到路由器帐户资料。
重新登入　旧对话金钥有效

另外，监控镜头的用户每次登入时均要使用「对话金钥」，用加密及解密传送的资料。对话金钥应会在中断连接后失效，但消委会发现，「BotsLab」、「SpotCam」及「reolink」在重新登入时，用于上一次连接的对话金钥仍然有效，若黑客偷取旧对话金钥，即可连接镜头，偷窥室内影像；当中「reolink」在登出帐户后，仍可看到镜头拍摄的实时影像。
消委会：密码不应少于8字

全部10款镜头，用户储存在应用程式的资料都未经过加密，安全性不足。消委会建议用家选购有信誉的产品，设立密码时不应少于8位，最好混合大小楷字母、数字及特殊符号。有5款监控镜头的手机应用程式存取过多权限，涉及「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」，如会读取装置上的行事历、帐户资料、用户正在使用的应用程式等，令手机内的资料有机会外泄。

售价介乎269元至1888元的10款家居监控镜头样本，最便宜的「小米Mi」，在防御攻击、资料传送安全方面，获总评3.5星，在所有样本中排第二，可以媲美最贵及在今次测试唯一1款符合欧洲网络安全标准，获总评4星的「arlo」。

消委会总干事黄凤娴表示，部分隐患属较高风险，包括遭黑客「暴力攻击」时容易被破解、传输资料时未有加密等，建议用户检视自己的密码强度，可按平常使用习惯，自我评估是否需要更换监控镜头。她又提醒消费者在不使用镜头时记得关上，减少私隐外泄风险。她又呼吁消费者在选购前留意有关镜头的资料，包括有否通过欧盟标准，文本传送协定的安全程度等。

消委会研究及试验小组副主席雷永昌指，香港暂时未有法例监控镜头，但新加坡及美国等已推出物联网装置的网络安全标签认证计画，建议政府可参考不同国家的做法。