【创科广场】传送陌生人画面 小米IP Cam急煞停
2020-01-07 10:22
近年有不少关于IoT设备安全漏洞的新闻,尤其黑客可通过IP摄影机镜头,监察别人家居或公司活动,令人不寒而栗。
上星期Androidpolice.com网站报道,一位欧洲小米智能摄影机的用户,接收到陌生人家居的影像,传送到他的Google Nest Hub设备上。
据报用户收到的影像,包括了牀上熟睡婴儿、坐在椅子上老人、陌生人客饭厅的影像等。消息发布后,Google暂停了Google Home和Assistant对小米装置连结,直至彻底查明及解决事件为止。
Google煞停Nest Hub连接
据用户Dio-V在Reddit网站发布影片及资料,他所使用小米的米家1080p智能IP安全摄录影机,同时连接到Google帐号上,透过家居Google Nest Hub设备,以直播摄录机影像。
不过安装完成后,米家摄录影机并未能接收自己家中情况,反而播放随机一些黑白影像,包括了上述片段。用户表示这是全新邮购的小米IP Cam,而软件亦是最新。影像上显示的时间,有可能是在不同的时区传送到他家中,亦有可能是设备商测试影像图,不过一切仍未经小米或Google核实。
事发两天后,上周五Google表示正在与小米,研究解决方案,但同时亦会关闭Google智能家居跟小米设备连结。
小米公司亦公布了事件的原因,是在十二月二十六日的软件更新中,本为增强设备直播功能,却引入问题。这次事故的出现十分罕见,而亦从未在小米任何的设备上出现过。目前的软件已经修改了错误,而会进一步跟进和Google连接的问题。
Wyze亦爆出安全事故
无独有偶,美国西雅图智能家居和IP Cam生产商Wyze,十二月亦爆出了安全事故。他们的MySQL和ElasticSearch客户数据库,直接连至网上,引至二百万多用户资料外窃,包括用户电邮资料,摄影机的IP地址,Wi-Fi的SSID,甚至跟其他家居设备如Alexa,Google Assistants等连接资料。
Wyze公司表示在十二月上旬,他们希望更有效地连接内部资讯,改变了数据库的网络架构,员工可能不小心删除安全恊议,引至资料外泄。黑客如利用这些资料,包括用户的加密证书,Wyse的API及IP地址,有机会可以在互联网任何的角落,利用视像窥探用户的家居状况,事态可能会十分严重。最快的补救方法,最好是用户更改密码及加密证书,重新连接其他设备。
十二月初,美国FBI亦曾针对IoT的安全发出呼吁,包括更改默认的帐号和密码,和禁止IoT手机App读取用户资料等。
用户应小心保护私隐
鉴于目前林林总总的IoT产品,可能以用户未知的方式蒐集资料,再传送至生产商或以外的其他地方,用户应该小心保护自己的私隐。FBI提倡分格家居Wi-Fi网络,IoT设备应和主要的电脑、手机等网络分开,配置在独立网络运行,减低窃取用户私隐机会。
其实在一般家居的路由器中,已可使用vLAN功能,家居网络一分为二或更多,手机、电脑等装个人资料的设备,放在同一网络内,而IoT设备如Alexa,Google Assistants或小米设备等,则分隔配置另一网络运行。
此外亦尽量更改IoT默认密码,密码跟其他设备不要一样。不少IoT设备亦会同时推出手机App,用户也要小心管理这类Apps使用权限,检查或拒绝提供个人资料,例如用户的地址簿等。
全文刊于《星岛日报》「创科广场」
最新回应