Avast：3.2万个IoT伺服器在网络上门户洞开,,图片来源: Avas

原标题：Avast：3.2万个IoT伺服器在网络上门户洞开

Avast也发现智慧家庭使用的控制仪表板，部份因为采用的开源软件未预设密码防护，让骇客可通过控制仪表板遥控使用者家中的智慧装置。 图片来源: Avast 捷克资安业者Avast周四（8/16）指出，他们在网络上找到了逾4.9...

Avast也发现智慧家庭使用的控制仪表板，部份因为采用的开源软件未预设密码防护，让骇客可通过控制仪表板遥控使用者家中的智慧装置。

图片来源:

Avast

捷克资安业者Avast周四（8/16）指出，他们在网络上找到了逾4.9万台因配置错误而曝露在公开网络上的MQTT伺服器，其中有超过3.2万台甚至缺乏密码保护，透露出主要应用在M2M（Machine-to-Machine）与IoT装置之MQTT协议的安全部署受到严重的漠视。

MQTT的全名为Message△Queuing△Telemetry△Transport（讯息序列遥测传输），可借由智慧家庭连结中枢（Smart△Home△Hub）来连结与控制智慧家庭装置，对消费者来说，MQTT伺服器通常是存在于个人电脑或基于Raspberry△Pi的迷你电脑上。

Avast表示，MQTT协议本身其实是安全的，主要的风险来自于使用者在实现与配置上的错误，可能允许骇客借由了解智慧家庭装置的运作情况而得知主人在家与否，或者是操纵家中的娱乐系统及语音助理等智慧装置。

这些缺乏密码保护的MQTT伺服器将允许骇客拦截通过该协议所传输的所有讯息，例如得知智慧门窗或家中灯光的状态，也能嵌入恶意指令以打开车库门。

即使是在MQTT伺服器受到保护的状况下，与MQTT伺服器具备同样IP位址的控制仪表板也可能会遭到骇客利用，主要是因为许多热门的智慧家庭软件或连结中枢皆为开源码解决方案，当中有些方案的预设值竟然不要求密码，因此，骇客仍然能够借由控制仪表板入侵家中的智慧装置。

假设MQTT伺服器与仪表板都受到了保护，但有些连结中枢软件与家用助理软件开启了不安全的SMB分享功能，而让骇客得以于公开网络上找到配置档，以及档案中以明文存放的密码与金钥，同样可让骇客取得家中装置的控制权。

在某些情况下，骇客还能利用与MQTT连结的行动程式来追踪使用者的位置。

根据Avast的统计，在网络上曝光的MQTT伺服器中，有1.2万台位于中国，逾8,000台位于美国，至于完全不需密码就能登入的MQTT伺服器则有8,446台位于中国，有4,733台位于美国，1,719台位于德国，1,614台位于香港，还有1,565台在台湾。

超过4.9万台因配置错误而曝露公开网络的MQTT伺服器及国家分布，以及超过3.2万台未设密码保护的MQTT伺服器国家分布：（来源：Avast）

橙山网（Csnd.net）简评：图片来源: Avast 捷克资安业者Avast周四（8/16）指出，他们在网络上找到了逾4.9... Avast也发现智慧家庭使用的控制仪表板，部份因为采用的开源软件未预设密码防护，让骇客可通过控制仪