新科技大多已融入家中,不少市民都安裝監控鏡頭防盜,更會不自覺地在鏡頭前更衣或出浴,片段隨時被黑客竊取上載,春光任人睇!消費者委員會今日(15日)表示,90%測試的家用監控鏡頭存在網絡安全隱患,包括沒有加密影像或容易被黑客破解密碼,另有一半樣本的應月程式存取權限過多,包括行事曆及帳戶資料。消委會促請生產商加入防禦暴力攻擊的設計及為影片及資料進行數據加密。
消委會測試10款家用監控鏡頭,售價介乎269至1,888港元,發現除了售價最高的鏡頭,其餘均存網絡安全隱患。其中4款樣本「imou」、「TP-Link」、「EZVIZ」及「D-Link」沒有使用可提供數據加密和訊息認證的「安全即時傳輸協定」(SRTP),只採用安全性較低的「即時傳輸協定」(RTP),過程中沒有將影片數據加密,傳送途中有機會受到黑客攻擊,能輕易窺探影片內容。
另外「reolink」連接用家的Wi-Fi無線網絡時,使用「超文本傳輸協定」傳送資料,沒有把敏感資料加密,黑客可以從普通文字檔找到路由器的帳戶資料。若生產商改用安全性較高的「超文本傳輸安全協定」(HTTPS),可為用戶提供更大的私隱保障。若有黑客試圖入侵,沒有把敏感資料加密,黑客可以從普通文字檔找到路由器的帳戶資料。若生產商改用安全性較高的「超文本傳輸安全協定」(HTTPS),可為用戶提供更大的私隱保障。
若有黑客試圖入侵,密碼愈長且愈複雜,所需的破解時間便會愈長。測試發現,有「eufy」、「EZVIZ」及「D-Link」樣本在進行實時動態影像串流時,黑客可透過自動化工具和程式展開「暴力攻擊」,透過反覆試驗所有可能的密碼組合,試圖破解密碼,當中有2款的預設密碼只有6位數字或字母,強度非常低,較容易讓黑客破解,繼而竊取影片。另外,消委會發現「BotsLab」、「SpotCam」及「reolink」在重新登入連接鏡頭時,用於上一次連接的對話金鑰仍然有效,假如黑客成功偷取舊的對話金鑰,即可連接鏡頭,偷窺室內影像,其中「reolink」更可於同一手機內的應用程式登出帳戶或登入另一個帳戶後,仍然可以看到監控鏡頭拍攝所得的實時影像,存在安全漏洞。消委會未有列出廠商回應。
本文作轉載及備份之用 來源 source: http://hk.on.cc
鍾意就快D Share啦!
|
|