【创科广场】传送陌生人画面 小米IP Cam急煞停

近年有不少关于IoT设备安全漏洞的新闻，尤其黑客可通过IP摄影机镜头，监察别人家居或公司活动，令人不寒而栗。

上星期Androidpolice.com网站报道，一位欧洲小米智能摄影机的用户，接收到陌生人家居的影像，传送到他的Google Nest Hub设备上。

据报用户收到的影像，包括了牀上熟睡婴儿、坐在椅子上老人、陌生人客饭厅的影像等。消息发布后，Google暂停了Google Home和Assistant对小米装置连结，直至彻底查明及解决事件为止。

Google煞停Nest Hub连接

据用户Dio-V在Reddit网站发布影片及资料，他所使用小米的米家1080p智能IP安全摄录影机，同时连接到Google帐号上，透过家居Google Nest Hub设备，以直播摄录机影像。

不过安装完成后，米家摄录影机并未能接收自己家中情况，反而播放随机一些黑白影像，包括了上述片段。用户表示这是全新邮购的小米IP Cam，而软件亦是最新。影像上显示的时间，有可能是在不同的时区传送到他家中，亦有可能是设备商测试影像图，不过一切仍未经小米或Google核实。

事发两天后，上周五Google表示正在与小米，研究解决方案，但同时亦会关闭Google智能家居跟小米设备连结。

小米公司亦公布了事件的原因，是在十二月二十六日的软件更新中，本为增强设备直播功能，却引入问题。这次事故的出现十分罕见，而亦从未在小米任何的设备上出现过。目前的软件已经修改了错误，而会进一步跟进和Google连接的问题。

Wyze亦爆出安全事故

无独有偶，美国西雅图智能家居和IP Cam生产商Wyze，十二月亦爆出了安全事故。他们的MySQL和ElasticSearch客户数据库，直接连至网上，引至二百万多用户资料外窃，包括用户电邮资料，摄影机的IP地址，Wi-Fi的SSID，甚至跟其他家居设备如Alexa，Google Assistants等连接资料。

Wyze公司表示在十二月上旬，他们希望更有效地连接内部资讯，改变了数据库的网络架构，员工可能不小心删除安全恊议，引至资料外泄。黑客如利用这些资料，包括用户的加密证书，Wyse的API及IP地址，有机会可以在互联网任何的角落，利用视像窥探用户的家居状况，事态可能会十分严重。最快的补救方法，最好是用户更改密码及加密证书，重新连接其他设备。

十二月初，美国FBI亦曾针对IoT的安全发出呼吁，包括更改默认的帐号和密码，和禁止IoT手机App读取用户资料等。

用户应小心保护私隐

鉴于目前林林总总的IoT产品，可能以用户未知的方式蒐集资料，再传送至生产商或以外的其他地方，用户应该小心保护自己的私隐。FBI提倡分格家居Wi-Fi网络，IoT设备应和主要的电脑、手机等网络分开，配置在独立网络运行，减低窃取用户私隐机会。

其实在一般家居的路由器中，已可使用vLAN功能，家居网络一分为二或更多，手机、电脑等装个人资料的设备，放在同一网络内，而IoT设备如Alexa，Google Assistants或小米设备等，则分隔配置另一网络运行。

此外亦尽量更改IoT默认密码，密码跟其他设备不要一样。不少IoT设备亦会同时推出手机App，用户也要小心管理这类Apps使用权限，检查或拒绝提供个人资料，例如用户的地址簿等。

全文刊于《星岛日报》「创科广场」