消委会评测10款家用监控镜头 九成存漏洞 $269小米评分第2（附5大安全贴士）

【消委会/监控镜头/IP Cam】「智能家居」近年愈趋普及，不少家庭都会安装家用监控镜头（IP Cam），被视为保障家居安全的智能装置。而当中网络安全尤为重要，否则影像及个人敏感资料便有可能外泄构成私隐等安全风险。消委会今日（15日）发表报告指，测试了市面上10款家用监控镜头的网络安全，发现只有1款符合欧洲网络安全标准，其馀9款均有不同程度的网络安全隐患。

消委会评测10款IP Cam

消委会评测10款IP Cam

1. arlo

2. 小米

3.imou

4.TP-Link

5.BotsLab

6.eufy

7.SpotCam

8.EZVIZ

9.reolink

10.D-Link

测试的 10 款家居监控镜头样本，售价介乎$269 至$1,888。（消委会提供）

消委会提醒用家5大网络安全隐患。（消委会提供）

全部样本均提供双向语音对话、移动侦测、夜视、Amazon Alexa 及 Google Assistant 语音控制等功能。（消委会提供）

10 款家居监控镜头样本的比较一览图。（消委会月刊截图）

消委会指9成不符欧洲网络安全标准促生产商改善和加强监管。（消委会月刊截图）

小米IP Cam价钱最平 评分排第2

是次测试的10款家居监控镜头样本，包括arlo、小米、imou、TP-Link、BotsLab、eufy、SpotCam、EZVIZ、reolink，以及D-Link， 售价介乎$269至$1,888。全部样本均提供双向语音对话、移动侦测、夜视、Amazon Alexa 及 Google Assistant语音控制等功能。当中9款的安全隐患包括没有以加密方式传送影像和资料、未能防御骇客以「暴力攻击」（brute force attack）方式破解密码等。

另外，监控镜头的应用程式在储存用户资料方面安全度不足，当中半数样本可透过Android版本应用程式存取用户装置中的档案，而部分应用程式存取的权限亦过多，包括会读取装置上的行事历、帐户资料、用户正在使用的应用程式等，装置内的资料有机会外泄。

此外报告指出，小米「智能摄影机2K云台版」MJSXJ09CM镜头，零售价约为$269，是10款中最便宜，但获得的总评却是第二高，防攻击能力、资料传送安全性亦是各款中最佳。

5款IP Cam传送影像或资料没加密 骇客易窃探

测试发现，其中4款样本（imou、TP-Link、EZVIZ、D-Link ）在传输影像时，没有使用可提供数据加密和讯息认证的「安全即时传输协定」（SRTP），只采用安全性较低的「即时传输协定」（RTP），过程中没有将影片数据加密，传送途中有机会受到骇客攻击，能轻易窥探影片内容。

另外1款样本（reolink）连接用家Wi-Fi时，使用「超文本传输协定」（HTTP）传送资料，没有把敏感资料加密，骇客可以从普通文字档找到路由器的帐户资料。若生产商改用安全性较高的「超文本传输安全协定」（HTTPS），可为用户提供更大的私隐保障。

骇客透过「暴力攻击」破解密码 6位数密码易被破解

测试发现，有3款样本（eufy、EZVIZ、D-Link）在进行实时动态影像串流时，骇客可透过自动化工具和程式展开「暴力攻击」，透过试误法（Trial & Error）反覆试验所有可能的密码组合，试图破解密码。

当中有 2 款（EZVIZ、D-Link）的预设密码只有 6 位数字或字母，强度非常低，较容易让骇客破解，而窃取影片。另外，当使用「 SpotsCam」的手机应用程式登入帐户时，骇客可「无限制」地不断重复尝试以窃取帐户资料。

3款IP Cam重新登入时旧有金钥仍有效

测试结果发现其中3款样本（BotsLab、SpotCam、reolink）在重新登入连接镜头时，用于上一次连接的对话金钥仍然有效，假如骇客成功偷取旧的对话金钥，即可连接镜头，偷窥室内影像。

当中有1款（reolink）更可于同一手机内的应用程式登出帐户或登入另一个帐户后，仍然可以看到监控镜头拍摄所得的实时影像，存在安全漏洞。

IP Cam应用程式储存资料安全度不足

部分监控镜头的应用程式内嵌浏览器，让用户可直接浏览网页，但其中 5 款样本（imou、TP-Link、eufy、EZVIZ、D-Link）Android 版本的内嵌浏览器没有封锁存取档案的权限，骇客可透过植入程式码存取装置内的档案。

另有5款样本（小米、imou、BotsLab、eufy、EZVIZ）的手机应用程式存取过多权限，部分样本存取的资料较为敏感，例如会读取装置上的行事历、帐户资料、用户正在使用的应用程式等，装置内的资料有机会外泄。

消委会IP Cam5大安全建议

不应购买没有品牌或来历不明的产品，不但品质没有保证，网络安全亦未必完善。（消委会影片截图）

建立帐户时密码应有足够强度，以及定期更改，防止被轻易破解。（消委会影片截图）

应善用防火墙、网络监察及活动纪录等功能，经常查看纪录以侦测可疑活动。（消委会影片截图）

应避免使用公共无线网络 Wi-Fi 进行监控，以免帐户资料被记录及盗取。（消委会影片截图）

应不时检查及更新韧体（firmware），以保持产品良好运作及修补安全漏洞。（消委会影片截图）

 

 

1. 不应购买没有品牌或来历不明的产品，不但品质没有保证，网络安全亦未必完善。
2. 建立帐户时密码应有足够强度，以及定期更改，防止被轻易破解。
3. 应善用防火墙、网络监察及活动纪录等功能，经常查看纪录以侦测可疑活动。
4. 应避免使用公共无线网络 Wi-Fi 进行监控，以免帐户资料被记录及盗取。
5. 应不时检查及更新韧体（firmware），以保持产品良好运作及修补安全漏洞。

消委会提醒用家：须知会所有佣工、访客装有镜头

消委会促请生产商改善产品的网络安全，例如加入防御暴力攻击的设计及为影片及资料进行数据密。消费者为监控镜头设定密码时亦要有足够强度并且定期更改，以及善用防火墙及网络监察等功能。

消委会亦提醒，根据私隐专员公署的指引，消费者若在家中安装监控镜头，应知会包括家庭佣工在内的家中所有成员及访客，亦须考虑监察的范围和程度，并告知雇员有关监察活动的公开性、以及妥善处理摄录纪录的方法等。

同场加映︰消委会抽湿机评测

消委会抽湿机评测1. 飞利浦

 

消委会抽湿机评测2. 飞歌

消委会抽湿机评测3. PANASONIC

消委会抽湿机评测4. 惠而浦

消委会抽湿机评测5. 三菱电机

消委会抽湿机评测6. LG

消委会抽湿机评测7. TOSHIBA

消委会抽湿机评测8. 日立HITACHI

消委会抽湿机评测9. 小米

消委会抽湿机评测10. De'longhi

消委会抽湿机评测11. 金章牌

消委会抽湿机评测12. 开利CARRIER

消委会抽湿机评测13. 正负零

消委会抽湿机评测13. Imaflex

消委会相关报道︰https://bit.ly/3mWLrla

---

《星岛申诉王》于3月1日隆重登场，节目为民请命抱不平、追踪城中热话，亦会搜罗温情小故事。你申诉，我跟进，搵91999933，《星岛申诉王》随时候命！

立即报料: https://bit.ly/3IMunqd

你的独家报料一旦被采用及报导，将获得乙份奖品。

《星岛头条》APP经已推出最新版本，请立即更新，浏览更精彩内容：https://bit.ly/3yLrgYZ