港商家用监视器Mi-Cam安全漏洞多，5.2万名用户家中婴儿或宠物影片容易遭拦截

资安业者SEC Consult本周指出，他们发现由香港业者miSafes所生产的Mi-Cam家用监视器含有许多重大的安全漏洞，将可存取Mi-Cam拍摄的影片，甚至是操控Mi-Cam来偷拍室内情况，还能挟持Mi-Cam用户的账号，估计影响5.2万名Mi-Cam用户。

miSafes主要开发各式婴儿或宠物监视器，Mi-Cam则属于通用型的Wi-Fi家用监视器，它可录制720P画质的影片，支援双向通话与录影功能，也有可用来管理多台Mi-Cam的行动程式。

SEC Consult调查了Mi-Cam行动程式、Mi-Cam监视器与Mi-Cam云端架构之间的通讯模式，发现了6个安全漏洞，包括薄弱的4位数预设密码、有瑕疵的期间管理及不安全的直接物件参考、不安全的密码重设功能、可用的序列界面、旧版软件，以及使用者账号的曝露等。

上述漏洞将允许骇客取得足够的Mi-Cam用户资讯，以观看由Mi-Cam拍摄的影片或与控制遭骇Mi-Cam装置，还能接管使用者账号。

SEC Consult从去年12月便企图通知miSafes及中国的网络紧急应变中心（CERT），迄今皆未获得任何的回应，使得该公司决定将漏洞资讯公诸于世。

包括婴儿监视器在内的各种网络摄影机的资安问题在这几年层出不穷，2014年时即有骇客入侵婴儿监视器，还从远端对着小孩喊叫，同年英国资讯委员办公室亦曾警告骇客以预设凭证入侵了全球数以千计的网络摄影机，还设立一个直播网站供全球观赏，专家则建议在制造商保护不周的状态下，相关装置用户应养成良好的使用习惯，例如设定较强固的密码，以及在不使用时关闭摄影机等。

SEC Consult还展示了一段拦截监视器影片讯号的示范影片