国内有数万台物联网设备专用的MQTT服务器未设置密码
捷克安全公司 AVAST 日前发布报告称在网络上找到约五万台因配置错误而暴露在公开网络的MQTT服务器。
MQTT即信息序列遥测传输的简称,通常是用于构建智能家庭的通讯协议用来控制家庭环境中的物联网设备。
这些MQTT服务器多数使用个人电脑或者树莓派类设备搭建的,使用开源软件即可轻松构建家庭的中枢设备。
安全公司表示MQTT协议本身是安全的发生问题主要在于用户,用户配置错误甚至直接没有设定连接的密码。
存在安全隐患的MQTT服务器分布图:(左未暴露在公网、右为服务器未设置密码)
黑客在扫描到这些存在安全问题的MQTT服务器后可以用来控制家庭车库大门或者家中的智能语音设备等等。
其中仅在中国就有 1.2 万台MQTT服务器因配置错误暴露在公网,黑客可以远程连接并寻找其中潜在的漏洞。
更夸张的是国内有 8,446 台MQTT服务器直接未设置密码,这意味着任何人只要扫描到IP地址即可轻松连接。
这些MQTT服务器使用的通常都是开源免费软件搭建,如此多的未设置密码的服务器可能因为用户们是新手。
新手用户按照网上查询的教程按部就班的搭建服务器,但可能没有仔细阅读安全提示于是造成未设置密码等。