今天日本網(wǎng)絡(luò)安全公司趨勢科技發(fā)布了一份關(guān)于物聯(lián)網(wǎng)安全狀況的報告。該公司發(fā)現(xiàn)兩種領(lǐng)先的機器對機器(M2M)協(xié)議存在固有的設(shè)計問題，并且經(jīng)常以不安全的方式進行部署。根據(jù)趨勢科技的報告“工業(yè)物聯(lián)網(wǎng)數(shù)據(jù)骨干的脆弱性”揭示了問題在于兩種流行的M2M協(xié)議，分別是消息隊列遙測傳輸協(xié)議(MQTT)和約束應(yīng)用協(xié)議(CoAP)。這兩種協(xié)議經(jīng)常用于物聯(lián)網(wǎng)設(shè)備，特別是在工業(yè)環(huán)境中使用的設(shè)備。

該報告由研究人員Federico Maggi和Rainer Vosseler撰寫，他們指出，使用簡單的關(guān)鍵字搜索，攻擊者能夠找到暴露的物聯(lián)網(wǎng)服務(wù)器和broker，并通過此暴露點可以泄漏超過2億條MQTT消息和1900萬條CoAP消息。然后攻擊者可以把拒絕服務(wù)攻擊和進行針對性的攻擊作為武器來從事工業(yè)間諜活動。

趨勢科技在農(nóng)業(yè)和醫(yī)療保健領(lǐng)域找到了被暴露的信息。研究人員從智能農(nóng)場發(fā)現(xiàn)了4,310份與農(nóng)業(yè)有關(guān)的記錄。其他記錄包含救護車的準確位置，以及附在患者身上的監(jiān)控設(shè)備的數(shù)據(jù) 和其相關(guān)聯(lián)的電子郵件地址和位置信息。在趨勢科技獲得的消息中，4,627,973個包含私有IP地址。其中219人擁有如12345這樣的高風(fēng)險密碼。

物聯(lián)網(wǎng)安全

MQTT經(jīng)常在工業(yè)物聯(lián)網(wǎng)中使用，但研究人員報告說該協(xié)議也經(jīng)常用于群件工具和消息應(yīng)用程序，比如最著名的是Facebook Messenger。在進行研究時，趨勢科技在Android應(yīng)用程序Bizbox Alpha中發(fā)現(xiàn)了一個信息暴露的實例，該應(yīng)用程序在四個月內(nèi)泄露了55,475條消息。其中18,000封是電子郵件。

趨勢科技網(wǎng)絡(luò)安全副總裁Greg Young在一份聲明中說，“我們今天在物聯(lián)網(wǎng)設(shè)備中使用的兩種最普遍的消息傳遞協(xié)議中發(fā)現(xiàn)的問題，應(yīng)能督促相關(guān)組織對其OT環(huán)境的安全性進行認真且全面的審視。”

他補充道，“這些協(xié)議的設(shè)計并未考慮到安全性，這些問題都可以在應(yīng)用廣泛的關(guān)鍵任務(wù)環(huán)境和用例中找到。這代表了主要網(wǎng)絡(luò)的安全風(fēng)險。擁有適度資源的黑客可以利用這些設(shè)計缺陷和漏洞進行偵察，橫向移動，隱藏數(shù)據(jù)竊取和拒絕服務(wù)攻擊。”

這是一個令人不安的消息。2017年估計安裝了價值84億美元的物聯(lián)網(wǎng)設(shè)備，我們幾乎可以肯定這只是觸及了安全噩夢的一角。為了減輕此威脅，趨勢科技建議相關(guān)組織刪除不必要的M2M服務(wù)，同時監(jiān)控現(xiàn)有設(shè)備以確保它們不會泄露私人數(shù)據(jù)。