消委會：9款家用CCTV加密不足易被窺　小米等5款存取過多手機權限

消委會測試市面上10款家用監控鏡頭的網絡安全，發現當中9款均有不同的網絡安全隱患，包括未有以加密方式傳送影像和資料，傳送期間有機會令資料外洩；部分監控鏡頭的應用程式在儲存用戶資料方面安全度不足，存取的權限過多。消委會提醒，市民要為監控鏡頭設定有足夠強度的密碼，亦要善用防火牆及網絡監察等功能。

消委會測試的10款家居監控鏡頭樣本，售價介乎269元至1888元，當中只有1款符合歐洲的網絡安全標準。監控鏡頭會直接將所拍的實時動態影像，串流至流動裝置，消委會測試發現5款樣本未有加密傳送資料，其中「imou」、「TP-Link」、 「EZVIZ」及「D-Link」只採用安全性較低的「即時傳輸協定」（RTP），數據傳送途中有機會受到駭客攻擊，可輕易窺探影片內容；「reolink」連接用家的 Wi-Fi無線網絡時，使用「超文本傳輸協定」（HTTP）傳送資料，但未有加密，故駭客可從普通文字檔找到路由器的帳戶資料。

另外，監控鏡頭的用戶每次登入時均要使用「對話金鑰」，用加密及解密傳送的資料。對話金鑰應會在中斷連接後失效，但消委會發現「BotsLab」、「SpotCam」及「reolink」重新登入時，用於上一次連接的對話金鑰仍然有效，若駭客偷取舊對話金鑰，即可連接鏡頭，偷窺室內影像；當中「reolink」在登出帳戶後，仍可看到鏡頭拍攝的實時影像。

5款手機應用程式存取過多權限

測試結果亦顯示，全部10款樣本在手機應用程式內儲存資料時安全性均不足，沒有使用加密技術保護，只將電郵地址、帳戶名稱或密碼等資料儲存於普通文字檔。消委會亦認為有5款監控鏡頭的手機應用程式存取過多權限，涉及「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」，如會讀取裝置上的行事曆、帳戶資料、用戶正在使用的應用程式等，令手機內的資料有機會外泄。

消委會建議政府推出適合本港的物聯網裝置的網絡安全標籤認證計劃，而市民應在有需要監控時才開啟應用程式及啟動鏡頭，完成後建議關掉鏡頭，同時亦不應以任何公用及沒有管理權限的裝置登入帳戶，要避免使用公共無線網絡 Wi-Fi 監控。消委會又提醒，用戶應不時檢查及更新韌體（firmware），以保持產品良好運作及修補安全漏洞。

You don’t say?

當中只有1款符合歐洲的網絡安全標準, 咁係邊款?

有無full report?

是但啦，用得呢堆垃圾都係想share出黎，大家齊齊睇

不意外

可同習習共享私密
係你既無上光榮

消委會有得買

買得呢啲牌子嘅都根本唔撚care任何資訊安全

咁依家邊款比較好？

arlo

有D媒體會買左再share出黎

Vmc2040擺係廳夠唔夠做？

行得正企得正驚D咩

消委會呢張list入面9成9係ARLO

正正經經怕乜俾黨睇

買Arlo本身已經貴，仲要每月比錢先有得睇返D影片

1款監控鏡頭Android應用程式加密不安全
此外，「BotsLab」的Android版本的應用程式使用已過時的數據加密標準（Data Encryption Standard，簡稱DES），金鑰長度較短，只有56位，並非一種安全的加密方法。建議生產商使用較安全的進階加密標準（Advanced Encryption Standard，簡稱AES），金鑰長度不少於128位，以保障用戶的私隱安全。

5款監控鏡頭應用程式存取權限過多 有機會洩露用戶資料
消費者委員會測試發現，5款樣本包括「小米Mi」、「imou」、「BotsLab」、「eufy」及「EZVIZ」的手機應用程式存取權限過多，有機會存取裝置上的敏感資料，例如行事曆、帳戶資料及正在使用的應用程式等，用戶安裝及使用前應留意並確認相關權限的安全性。

文章版權為新傳媒集團所擁有，原文請按： https://www.weekendhk.com/1484371/?utm_campaign=WW_ContentCopy&utm_source=Web-inventory&utm_medium=Content-Copy_WW

文中點到名既

imou
TP-Link
EZVIZ
D-Link
reolink
小米Mi
BotsLab
eufy

不過又各打50大板

全部10款樣本在手機應用程式內儲存資料時安全性均不足，沒有使用加密技術保護，只將電郵地址、帳戶名稱或密碼等資料儲存於普通文字檔。

除左ARLO
其他都係支牌/假支牌?

我個人就一定揀axis, 雖然家用可能多d setting野要搞