劣質硬件充斥市場
Webcam是大眾化用品且擁有強大功能,除了實時變焦移動監控,還可因應情況啟動自動錄影,進行即時語音對話,提供語音控制功能,備有夜視功能等。若不注意安全,Webcam對私隱將構成災難。19年初香港電腦保安事故協調中心已經發表報告,指市面上Webcam存在大量安全隱患,叫市民小心並呼籲生產商改進。時隔四年,消委會老調重彈,上周發表Webcam安全報告。獨立實驗室測試市面上十個牌子的Webcam結果顯示,只有一牌子符合歐盟網絡安全標準,其餘九款存在安全漏洞,足以令資料外洩,當中包括沒有加密傳輸令中間人可窺探資料內容,未能防禦「暴力攻擊」(即是無限次碰撞密碼),相關手機軟件要求過多權限,登出帳戶後仍可看到實時動態,使用一些已過時的瀏覽器陷入程式讓黑客可進行跨網站指令碼攻擊及存取資料等等。消委會建議用家有需要時才開啟程式及鏡頭,不要使用公共Wi-Fi,設定有足夠強度的密碼並定時更改,留意應用程式權限等,又再促請各生產商提升安全云云。消委會沒有提及品牌的所在地,但只要網上查一查,最高評分符合歐盟標準的是美國品牌,其餘七個來自大陸或香港,另外兩個來自台灣。
消委會建議效用不大
正面看,消委會報告可令市民再次關注Webcam安全問題。同時報告亦是一面照妖鏡,照出各種極低級的安全隱患,有些更甚至令人懷疑是刻意。筆者對結果則不感到意外,事實上,上述問題還只是冰山一角。本欄已多次作出警告物聯網裝置有着各種安全隱患,包括傳輸未有加密,加密存有漏洞,蒐集資料不透明,用戶欠控制權,韌體隔一段時間後不作更新,資料傳送至極權國內的伺服器,登入帳號不能更改,密碼設限甚至預設,IPv6安全漏洞未有解決,留有open port可讓第三方入侵,強迫安裝手機軟件並利用大量授權進一步侵犯私隱,Webcam只是物網裝置之一。一個垃圾裝置足以影響整個家用網絡安全,甚至將其變成殭屍網絡。消委會建議效用成疑,一個不安全的裝置,上修下補都難保安全,還牽涉大量專業技術。一個劣質軟件,關掉所有權限,還有幾十個不在用家控制範圍的權限,更可能有隱藏模塊偷取資訊,軟件不開啟都在背景搜刮及傳送資料。裝置伺服器在極權國,極權有存取權,安全漏洞更可令裝置變成監控工具。各方呼籲生產商提高質素已多年,但只要查一查市佔率高的生產商所在地的安全標準,再想一想為何大部份生產商多年來依然故我,重複犯下大量低級安全錯誤,再三呼籲都是徒勞。
高級技巧控制風險
若果有實在需要使用Webcam,必須採取安全措施。消委會報告的亮點是用家應該充份考慮品牌的所在地及產品有否符合高水平認可的安全標準。但這只是最基本要求,主要原因是這些產品絕大部份都不開源,韌體難做到適時更新,更可能外判第三方,利用第三者伺服器,生產地可能在極權國家,所以仍需採取額外安全措施。筆者建議額外配置一個使用開源韌體的路由器,開啓訪客網絡並將Webcam連接,若有實體連線就避開使用Wi-Fi,這樣裝置便難於被人在網上發現,要攻擊亦要跨過兩個路由器的防火牆。繼而將VPN Client安裝在路由器上,開啓強制所有傳輸經VPN加密進行進行,徹底解決加密問題。建議同時把私人DNS安裝在路由器上,先測試Webcam,並記錄其所有DNS請求,查清每個請求IP地址的擁有者,然後在DNS設定黑白名單。若果你對私隱要求極高,可使用一個最簡單的USB Cam,直接利用電腦加VPN及開源軟件控制。大家不要忘記手機及手提電腦內置Webcam,請檢視及設定權限,預設不容許使用,任何傳取必須通知及獲得允許。設定同樣適用於咪高峰。請遮蓋鏡頭,插入咪高峰鎖上裝置,需要時才使用。
個人資訊安全、私隱、透明、給予用家主導權、零信任等都是Web 3.0物聯網的理念要素,精明的讀者馬上看到這些對某些地區某些牌子是死穴。劣質Webcam充斥市場,用家除清楚了解風險學懂自保之外,還要協助宣傳,擬聚市場力量向這些劣質貨說「不」!◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
