網絡攝影機保安的陰暗面

家居視像保安系統愈來愈普及,無論是用作保安用途,還是用來監察家中寵物的日常生活,如果裝置本身存在保安的漏洞,用戶就有可能變成「電視明星」,私生活任人觀看。

破壞承諾

創立於2011年的Anker絕非電子行業的初哥,以製造充電器和智能手機及平板週邊起家,現在有一系列的手提電子裝置相關的產品,甚至視像門鈴和保安鏡頭也有涉獵,而他們推出的網絡攝影機品牌Eufy便是這次事件的主角,在他們的官方網站內,開發商承諾高度保障私隱所以沒有使用雲端,所有資料保存在受保護的本地裝置,遙距視像監察功能可以完全關閉,即使選擇開啟,攝影機也會加密影片串流然後傳送到用戶的智能手機應用程式,也是唯一可以解密的地方,即是大家熟識的end-to-end encryption,意味著即使是製造商也無法存取資料。

此外,辨識系統在裝置上直接運作,每台攝影機內置的AI無而傳送任何東西到公司的伺服器也能分析片段,辨別影片中的人是地主、租客還是陌生人,令攝影機用戶只在不熟識的面孔出現在攝影機前才會收到通知。然而承諾的高度私隱近日出現令人驚訝的劇情,原來Eufy攝影機的操作暗地裡和上述有點不同,在11月23日一位英國保安專家Paul Moore在Twitter貼出影片,指出Eufy傳送資料到雲端,即是選擇了關閉功能。

他的影片詳細展示了問題,當他安裝了Eufy的視像門鈴,登入到裝置的網絡界面,從分析覽器內的原代碼並出現每次有人被攝入鏡頭,便會發送照片到製造商的伺服器,如此一來至少承諾的不使用雲端並不真確。隨後Moore發出幾道貼文指出其他更嚴重的保安問題,Eufy「可靠」的加密使用一條固定密鑰給所有用戶,更甚者是Eufy的編碼張貼在公司自己的GitHub內,稍後有科技網站引述Moore和其他保安專家,確定了最壞的情況,任何人上網只要連線到裝置的唯一地址,都能夠觀看視像串流。

模糊的解釋

當辨識系統確定陌生人出現在鏡頭前,向用戶手機發送提示和照片,而唯一能做到的就是經由雲端,但為甚麼Eufy承諾不使用雲端呢?而遙距存取串流影片因為怕安全漏洞被大規模使用而沒公開詳細資料,但至少已知承諾的加密並沒有用於傳輸影片串流,事車上串流完全沒有加密,可以使用一般的媒體播放器觀看,例如VLC。此外,存取指定攝影機只需要知道唯一的網址,這意味著它連接互聯網,但這些地址以可估計的形式產生(基於裝置的serial number並直接印在盒上,再加上當時的日期和時間),除此之外就是隨機4位數的所課保安措施,極容易透過暴力破解。

至於Eufy的回應,首先是確定裝置無法從攝影機觀看即時影像,但外媒使用兩台自己的Eufy能夠做到,其次是當影片從門鈴傳送到公司伺服器,是確保通知送抵用戶的手機,之後便會刪除,然而Moore進行了簡單測試,在觀看照片後儲存該網址,然後從手機上刪除照片,即使照片在個人帳戶中消失,但只要輸入儲存的網址就能在瀏覽器上觀看該照片,有其他研究人員嘗試完整重設攝影機,令帳號內的儲存影片全部刪除,但當把裝置再次連接到他的帳號時,竟然看到理應刪除了的影片!

防護的方法

Eufy的問題只是冰山一角,在2021年Hikvision的網絡攝影機被發現存在嚴重安全漏洞,令攻擊者能完全控制裝置,即使已推出補丁,但一年後仍有數以萬計裝置未有堵塞漏洞,有媒體指出,只要裝置有鏡頭和Wi-Fi,安全漏洞只是遲早問題。就網絡攝影機的私隱防護問題,我們建議用戶時刻留意裝置相關的安全事故新聞,小心檢查攝影機設定,關閉所有不用的雲端功能和定期安裝更新,在決定在家中安裝視像監察系統時,要先衡量風險。

資料來源:Kaspersky Blog