消委會家用監控鏡頭測試｜10款CCTV僅1款符安全標準 $269小米CP值最高

消委會家用監控鏡頭測試：10款IP CAM安全性及功能比較

消費者委員會委託獨立實驗室參考ETSI EN303 645及OWASP MASVS標準，測試市場多款家用監控鏡頭的網絡安全表現，包括防攻擊能力、資料傳送安全性、應用程式安全性、儲存資料保密性及硬件設計。全部樣本均提供雙向語音對話、移動偵測、夜視、Amazon Alexa及Google Assistant語音控制等功能，售價由$269至$1,888不等。

樣本中的「arlo」需另購配件才能把影片儲存於USB記憶棒內，其餘款式的機身設有micro-SD記憶卡內插槽，插入記憶卡即可儲存影片。其中，有「arlo」、「imou」、「eufy」、「SpotCam」及「reolink」等5款具備基本防水功能，室內及戶外均可使用。此外，「arlo」、「SpotCam」及「reolink」內置充電池，使用更加方便。

消委會家用監控鏡頭測試揭安全漏洞：登出帳戶後仍可觀看影像串流

用戶開啟監控鏡頭的相關應用程式及登入帳戶後便可遙距監控家中的情況，而每次登入連接鏡頭時，都要先連接至生產商的伺服器，因此生產商能提供可靠又安全的連接服務至關重要。理論上，用戶應先登入已連接監控鏡頭的帳戶才可觀看實時動態影像串流（real-time video streaming）。然而測試發現，「reolink」在同一手機內的應用程式即使已登出帳戶或登入另一個帳戶後，仍可看到已登出帳戶所連接的監控鏡頭拍攝所得的實時動態影像，裝置存在網絡安全漏洞。

用戶每次登入連接鏡頭時均會使用對話金鑰（session key）。此金鑰就像一個臨時密碼，用於加密及解密互相傳送的資料及數據，當中斷連接後，該次連接使用的對話金鑰便會失效。若用戶重新登入帳戶連接鏡頭，會使用一個新的對話金鑰進行加密及解密。惟測試發現，當用戶重新登入帳戶連接鏡頭時，「BotsLab」、「SpotCam」及「reolink」用於上一次連接的對話金鑰仍然有效，若駭客成功偷取舊有的對話金鑰，便可連接鏡頭。

樣本測試顯示4款家用監控鏡頭存在安全漏洞

消費者委員會進行的家用監控鏡頭測試中，發現4款樣本未能防禦駭客的暴力攻擊。當中，「eufy」、「EZVIZ」及「D-Link」在實時動態影像串流時，駭客可透過暴力攻擊破解密碼。此外，「EZVIZ」及「D-Link」的預設密碼強度非常弱，易被駭客破解。此外，「SpotCam」的手機應用程式未限制帳戶登入次數，駭客可不斷重複嘗試登入以獲取帳戶資料。

消費者委員會建議「eufy」、「SpotCam」、「EZVIZ」及「D-Link」的生產商應加強產品的實時動態影像串流及帳戶登入的安全設計，例如採用多重認證及限制嘗試密碼次數。同時，建議當來自同一IP地址的短時間多次登入失敗時，應封鎖帳戶一段時間，以防駭客進行暴力攻擊。

五款樣本沒有加密傳送 資料易受到外洩風險

四款樣本包括「imou」、「TP-Link」、「EZVIZ」及「D-Link」在進行實時動態影像串流時使用即時傳輸協定（Real-time Transport Protocol，RTP），但沒有對影片數據進行加密，因此可能受到中間人攻擊（man in the middle attack）。駭客可以輕易窺探用戶的私隱，侵犯其權益。消費者委員會建議生產商改用安全即時傳輸協定（Secure Real-time Transport Protocol，SRTP），提供更完善的保護措施，包括數據加密、訊息認證（message authentication）及完整性（integrity）保證等。

另外一款樣本為「reolink」，在使用mysimplelink服務連接用家的Wi-Fi無線網絡時，沒有進行身分驗證（authentication），僅使用超文本傳輸協定（Hyper Text Transfer Protocol，HTTP）傳送資料，沒有加密敏感資料。駭客可從普通文字檔中找到路由器（router）的帳戶資料，造成資料外洩風險。消費者委員會建議生產商改用較安全的超文本傳輸安全協定（Hyper Text Transfer Protocol Secure，HTTPS），以提高傳送數據時的安全性。

5款監控鏡頭Android應用程式存取檔案漏洞

消費者委員會進行的監控鏡頭測試中，發現5款樣本的Android應用程式內嵌瀏覽器沒有封鎖存取檔案的權限，包括「imou」、「TP-Link」、「eufy」、「EZVIZ」及「D-Link」，駭客可植入程式碼以存取裝置檔案，令用戶私隱外洩。此外，「小米Mi」、「imou」、「eufy」及「D-Link」的iOS版本的應用程式內嵌瀏覽器使用已過時的UIWebView或沒有停用JavaScript，駭客可進行跨網站指令碼攻擊。建議生產商使用WKWebView或SFSafariViewController並停用JavaScript，以增強安全性。

1款監控鏡頭Android應用程式加密不安全

此外，「BotsLab」的Android版本的應用程式使用已過時的數據加密標準（Data Encryption Standard，簡稱DES），金鑰長度較短，只有56位，並非一種安全的加密方法。建議生產商使用較安全的進階加密標準（Advanced Encryption Standard，簡稱AES），金鑰長度不少於128位，以保障用戶的私隱安全。

5款監控鏡頭應用程式存取權限過多 有機會洩露用戶資料

消費者委員會測試發現，5款樣本包括「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」的手機應用程式存取權限過多，有機會存取裝置上的敏感資料，例如行事曆、帳戶資料及正在使用的應用程式等，用戶安裝及使用前應留意並確認相關權限的安全性。

3款監控鏡頭應用程式設計欠佳

消費者委員會測試發現，在TP-Link、BotsLab及EZVIZ的應用程式登入版面輸入不存在的帳戶時，程式會彈出訊息顯示該帳戶不存在。這種設計欠佳，駭客可透過不斷嘗試找出真實存在的帳戶名單，進而攻擊。消費者委員會建議生產商改善此問題，避免駭客利用漏洞進行攻擊。

7款家用監控鏡頭存在安全漏洞

為了方便設計及偵測漏洞，家用監控鏡頭的電路板多備有除錯埠（debug port）。消費者委員會的測試發現，7款樣本包括「小米Mi」、「imou」、「TP-Link」、「BotsLab」、「EZVIZ」、「reolink」及「D-Link」未能移除除錯埠，使得駭客只需移除監控鏡頭外殼，並接上合適的接頭，即可進入操作系統命令介面，並進一步讀取監控鏡頭儲存在記憶體的資料或修改軟件。以上7款樣本均存有安全風險。消費者委員會建議生產商需改善產品設計，加強安全性。

10款IP Cam評分：

消委會提醒消費者選購和使用家居監控鏡頭時，應注意以下事項：

-不應購買沒有品牌或來歷不明的產品，不但品質沒有保證，網絡安全亦未必完善；
-建立帳戶時密碼應有足夠強度，例如長度不應少於8位，並混合大小楷字母、數字及特殊符號來提高密碼強度，以及定期更改，防止被輕易破解。若監控鏡頭由專人上門安裝及設置，切記在安裝後立即更改密碼；
-建議在有需要進行監控時才開啟應用程式及啟動鏡頭，完成後建議把應用程式及鏡頭關掉。此外消費者應使用個人智能裝置登入鏡頭觀看畫面，不應以任何公用及沒有管理權限的裝置登入帳戶，亦應避免使用公共無線網絡Wi-Fi進行監控，以免帳戶資料被記錄及盜取；

-應善用防火牆、網絡監察及活動紀錄等功能，經常查看紀錄以偵測可疑活動。此外亦應不時檢查及更新韌體（firmware），以保持產品良好運作及修補安全漏洞；

-假如懷疑鏡頭內部系統曾被入侵或植入程式，建議修復一次官方韌體及將產品還原至出廠狀態，並可在重新安裝時建立全新帳戶及設定新密碼。