Avast也发现智慧家庭使用的控制仪表板,部份因为采用的开源软件未预设密码防护,让骇客可通过控制仪表板遥控使用者家中的智慧装置。
图片来源:Avast
捷克资安业者Avast周四(8/16)指出,他们在网络上找到了逾4.9万台因配置错误而曝露在公开网络上的MQTT伺服器,其中有超过3.2万台甚至缺乏密码保护,透露出主要应用在M2M(Machine-to-Machine)与IoT装置之MQTT协议的安全部署受到严重的漠视。
MQTT的全名为Message△Queuing△Telemetry△Transport(讯息序列遥测传输),可借由智慧家庭连结中枢(Smart△Home△Hub)来连结与控制智慧家庭装置,对消费者来说,MQTT伺服器通常是存在于个人电脑或基于Raspberry△Pi的迷你电脑上。
Avast表示,MQTT协议本身其实是安全的,主要的风险来自于使用者在实现与配置上的错误,可能允许骇客借由了解智慧家庭装置的运作情况而得知主人在家与否,或者是操纵家中的娱乐系统及语音助理等智慧装置。
这些缺乏密码保护的MQTT伺服器将允许骇客拦截通过该协议所传输的所有讯息,例如得知智慧门窗或家中灯光的状态,也能嵌入恶意指令以打开车库门。
即使是在MQTT伺服器受到保护的状况下,与MQTT伺服器具备同样IP位址的控制仪表板也可能会遭到骇客利用,主要是因为许多热门的智慧家庭软件或连结中枢皆为开源码解决方案,当中有些方案的预设值竟然不要求密码,因此,骇客仍然能够借由控制仪表板入侵家中的智慧装置。
假设MQTT伺服器与仪表板都受到了保护,但有些连结中枢软件与家用助理软件开启了不安全的SMB分享功能,而让骇客得以于公开网络上找到配置档,以及档案中以明文存放的密码与金钥,同样可让骇客取得家中装置的控制权。
在某些情况下,骇客还能利用与MQTT连结的行动程式来追踪使用者的位置。
根据Avast的统计,在网络上曝光的MQTT伺服器中,有1.2万台位于中国,逾8,000台位于美国,至于完全不需密码就能登入的MQTT伺服器则有8,446台位于中国,有4,733台位于美国,1,719台位于德国,1,614台位于香港,还有1,565台在台湾。
超过4.9万台因配置错误而曝露公开网络的MQTT伺服器及国家分布,以及超过3.2万台未设密码保护的MQTT伺服器国家分布:(来源:Avast)
I 相关 / Other
示意图,与新闻事件无关。 图片来源: Apple 根据澳洲媒体The△Age的报道,一位16岁的澳洲青少年本周坦承曾多次入侵苹果伺服器,窃取了多达90GB的苹果机密档案,还取得苹果用户的帐号金钥,在苹果向美国联邦调查局(
图片来源: Record△Future 就在美中贸易谈判进行之际,研究人员发现,中国骇客近数月来多次以网络后门程式骇入美国阿拉斯加州政府及该州电信、能源公司网络进行弱点扫瞄,企图刺探情报。Record△Future研究单位Insik
日本研究对付盗版网站 有专家提议进行DoS网络攻击 | 香港 UNWIRE.HK 玩生活.乐科技
日本政府知识产权战略本部在 8 月 10 日举行研讨会,研究互联网上盗版问题的有关对策。有传媒从政府公开的文件中发现,有 IT 关连组织曾向政府建议“可以取代屏敝这些盗版网站的办法,就是版权持有者可对相关网站直接
Google事件驱动无伺服器平台Cloud Functions正式上线了!
Google在Next△2018大会上发表的服务,近日逐渐正式上线,继无伺服器NoSQL资料库Cloud△Firestore已正式推出后,Google主打的事件驱动无伺服器运算平台Cloud△Functions也正式上线了。Cloud△Functions是Google在201
图片来源: Ahamed△Nafeez 一位安全研究人员Ahamed△Nafeez上周同时于黑帽(Black△Hat△)与Def△Con会议上展示了VOracle攻击,攻陷基于OpenVPN协议的VPN服务,快速取得VPN服务的Session△ID。虚拟私有网络(Virtua