國內有數萬台物聯網設備專用的MQTT伺服器未設置密碼

捷克安全公司 AVAST 日前發布報告稱在網路上找到約五萬台因配置錯誤而暴露在公開網路的MQTT伺服器。

MQTT即信息序列遙測傳輸的簡稱，通常是用於構建智能家庭的通訊協議用來控制家庭環境中的物聯網設備。

這些MQTT伺服器多數使用個人電腦或者樹莓派類設備搭建的，使用開源軟體即可輕鬆構建家庭的中樞設備。

安全公司表示MQTT協議本身是安全的發生問題主要在於用戶，用戶配置錯誤甚至直接沒有設定連接的密碼。

存在安全隱患的MQTT伺服器分布圖：（左未暴露在公網、右為伺服器未設置密碼）

黑客在掃描到這些存在安全問題的MQTT伺服器後可以用來控制家庭車庫大門或者家中的智能語音設備等等。

其中僅在中國就有 1.2 萬台MQTT伺服器因配置錯誤暴露在公網，黑客可以遠程連接並尋找其中潛在的漏洞。

更誇張的是國內有 8,446 台MQTT伺服器直接未設置密碼，這意味著任何人只要掃描到IP地址即可輕鬆連接。

這些MQTT伺服器使用的通常都是開源免費軟體搭建，如此多的未設置密碼的伺服器可能因為用戶們是新手。

新手用戶按照網上查詢的教程按部就班的搭建伺服器，但可能沒有仔細閱讀安全提示於是造成未設置密碼等。

開學季正版軟體促銷開始啦：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！