2023-03-16Text: Edith
消委會測試|9成家用監控鏡頭有網絡安全隱患!易被駭客入侵、私隱影片外洩!邊款係唯一推薦?邊款問題最嚴重?(附詳細評分名單)
3樣本終斷連接後「對話金鑰」仍有效!
消委會又指,在正常情況下,用戶每次登入連接鏡頭時均會使用新對話金鑰(sessionkey),以加密及解密互相傳送的資料及數據,當中斷連接後便會失效。惟測試發現「BotsLab」、「SpotCam」及「reolink」用於上一次連接的對話金鑰仍然有效,若駭客成功偷取舊有的對話金鑰,便可連接鏡頭。
另外,「eufy」、「EZVIZ」及「D-Link」進行實時動態影像串流時,駭客可透過試誤法(trialanderror)等暴力攻擊(bruteforceattack),透過反覆試驗所有可能的密碼組合以獲得密碼。
BotsLab indoor cam pan & tilt P4-Pro (官網圖片)
測試還發現,「imou」、「TP-Link」、「EZVIZ」及「D-Link」採用即時傳輸協定(Real-timeTransportProtocol)來進行實時動態影像串流,沒有把影片數據進行加密,有機會受到中間人攻擊(maninthemiddleattack),駭客可輕易窺探影片內容!另外,「reolink」透過mysimplelink服務連接用家的Wi-Fi無線網絡時,沒有進行身分驗證,只使用超文本傳輸協定(HyperTextTransferProtocol)傳送資料,沒有把敏感資料加密,駭客可從普通文字檔找到路由器的帳戶資料,存有洩風險。
網上圖片
沒有封鎖存取檔案權限=敏感資料會外洩
消委會亦指出,「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」Android版本的應用程式內嵌瀏覽器沒有封鎖存取檔案的權限,駭客可植入程式碼以存取裝置檔案,令用戶私隱外洩。另外,「小米Mi」、「imou」、「eufy」及「D-Link」iOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript,駭客可進行跨網站指令碼攻擊(CrossSiteScripting,簡稱XSS)存取檔案位置。
小米智能攝影機2K雲台版(官網圖片)
測試同時檢視了應用程式的Android及iOS版本所要求的權限,發現「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」的應用程式存取權限過多,而當中部分樣本存取的資料亦較為敏感,例如讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等,裝置內的敏感資料有機會因而外洩。
imou Knight Outdoor Smart Security camera(網上圖片)