1、 免責聲明 香港生產力促進局屬下的香港網絡安全事故協調中心（HKCERT）保留不時修 改文件的權利而無須另行通知。HKCERT 已盡力確保本文件所含資料均來自可靠來源，對任何錯誤或遺漏或使 用相關資料所招致的結果概不負責。本文件上的所有資料均以當時情況提供，不擔保其完整性、準確性、及時性、或使用相關資料所招致的結果，亦不作任 何明示或隱含的保證，包括但不限於其性能保證、適售性和特定用途的適用 性。本文件包含的資料僅供參考。信賴或使用相關資料由讀者自行承擔風險。本文 件的任何內容均不得在任何程度上替代讀者的獨立調查和合理的技術和商業判 斷。在任何情況下，香港網絡安全事故協調中心、香港生產力促進局

2、、或其合 作夥伴、員工或代理商，均不對你或任何人信賴本文件相關資料做出的任何決 定或行動，或任何後果性，特殊或類似的損害承擔責任。版權 本文件的內容是根據共享創意 4.0 國際授權條款管理。只要表明來源始於香港 網絡安全事故協調中心，無論任何目的，均可以共享和採用本文件的內容。https：/creativecommons.org/licenses/by/4.0 目錄 1.簡介 .2 2.保安測試方法和研究結果概要.3 2.1.保安測試方法.3 2.2.研究結果概要.5 3.保安測試風險評級和定義.6 4.關於顯示屏網頁管理平台的研究結果.7 4.1.研究結果概要.7 4.2.顯示屏網頁管理平台

3、的詳細結果.9 4.2.1.高風險研究結果.9 4.2.2.中等風險研究結果.15 4.2.3.低風險研究結果.18 5.數碼顯示屏裝置的研究結果.19 5.1.研究結果概要.19 5.2.數碼顯示屏裝置的詳細結果.21 5.2.1.高風險研究結果.21 5.2.2.中等風險研究結果.28 5.2.3.低風險研究結果.31 6.保安建議.32 6.1.顯示屏網頁管理平台上的保安建議.32 6.2.顯示屏裝置上的保安建議.35 7.引用 .37 2 1.簡介 數碼顯示屏在各行各業中很受歡迎，用於推廣產品和向客戶展示資訊。作為物聯網裝置，它可能成為黑客進行網絡攻擊的目標。因此，HKCERT 對 8

4、 個數碼顯示屏進行了保安研究。其研究和觀察結果與保安建議一起提供予公眾和數碼顯示屏用戶參考。此保安研究旨在確定與普遍數碼顯示屏系統相關的潛在漏洞，並於 2024 年 10 月進行。本報告亦記錄了研究結果和保安建議等詳細資訊。此保安研究的目標是：對選定的數碼顯示屏及其用戶端應用程式和網頁管理平台應用程式進行保安測試 識別選定的數碼顯示屏和網頁管理平台中的保安風險 建議保安措施以應對已識別的風險 3 2.保安測試方法和研究結果概要 2.1.保安測試方法 數碼顯示屏系統通常設置在無線網路中，顯示屏裝置通常運行 Android 或 Windows 作業系統。用戶可以透過登入顯示屏或內容管理系統（CMS

5、）來上傳媒體、調整螢幕設定和設定時間表等來更新顯示內容。當內容在管理系統中完成儲存後，其將會發送至顯示屏裝置進行顯示。以下圖示說明從用戶發送更新內容至顯示屏裝置的過程。圖 1-從用戶電腦發送更新內容至顯示屏裝置 本研究包含四個不同品牌的 Windows 和 Android 作業系統數碼顯示屏的測試結果，分別是 8 台裝置和其相應的網頁管理平台。以下列表為進行了保安測試所選定的數碼顯示屏：品牌 作業系統 數碼顯示屏 測試編號 顯示屏網頁管理平台*顯示屏網頁管理平台測試編號 A Windows A1 N/A N/A Android A2 B Windows B1 有 B1P Android B2

6、有 B2P C Windows C1 有 CP 4 Android C2 D Windows D1 有 DP Android D2 列表 2-1.保安測試所選定的數碼顯示屏*品牌 A 數碼顯示屏方案不包含網頁管理平台，因此並無相關保安測試；品牌 B 分別為 Windows 和 Android 作業系統的顯示屏提供不同的網頁管理平台。此保安測試中使用了灰盒方法，並提供了數碼顯示屏的網絡環境、IP 地址，以及用於在網頁管理平台進行身份驗證的憑證。保安測試方法的流程如下：計劃自動掃瞄OWASP Top 10 測試其他應用程式攻擊測試分析和報告 5 2.2.研究結果概要 本節總括了保安測試中的研究結果