今天日本網絡安全公司趨勢科技發布了一份關于物聯網安全狀況的報告。該公司發現兩種領先的機器對機器(M2M)協議存在固有的設計問題，并且經常以不安全的方式進行部署。根據趨勢科技的報告“工業物聯網數據骨干的脆弱性”揭示了問題在于兩種流行的M2M協議，分別是消息隊列遙測傳輸協議(MQTT)和約束應用協議(CoAP)。這兩種協議經常用于物聯網設備，特別是在工業環境中使用的設備。

該報告由研究人員Federico Maggi和Rainer Vosseler撰寫，他們指出，使用簡單的關鍵字搜索，攻擊者能夠找到暴露的物聯網服務器和broker，并通過此暴露點可以泄漏超過2億條MQTT消息和1900萬條CoAP消息。然后攻擊者可以把拒絕服務攻擊和進行針對性的攻擊作為武器來從事工業間諜活動。

趨勢科技在農業和醫療保健領域找到了被暴露的信息。研究人員從智能農場發現了4,310份與農業有關的記錄。其他記錄包含救護車的準確位置，以及附在患者身上的監控設備的數據 和其相關聯的電子郵件地址和位置信息。在趨勢科技獲得的消息中，4,627,973個包含私有IP地址。其中219人擁有如12345這樣的高風險密碼。

物聯網安全

MQTT經常在工業物聯網中使用，但研究人員報告說該協議也經常用于群件工具和消息應用程序，比如最著名的是Facebook Messenger。在進行研究時，趨勢科技在Android應用程序Bizbox Alpha中發現了一個信息暴露的實例，該應用程序在四個月內泄露了55,475條消息。其中18,000封是電子郵件。

趨勢科技網絡安全副總裁Greg Young在一份聲明中說，“我們今天在物聯網設備中使用的兩種最普遍的消息傳遞協議中發現的問題，應能督促相關組織對其OT環境的安全性進行認真且全面的審視。”

他補充道，“這些協議的設計并未考慮到安全性，這些問題都可以在應用廣泛的關鍵任務環境和用例中找到。這代表了主要網絡的安全風險。擁有適度資源的黑客可以利用這些設計缺陷和漏洞進行偵察，橫向移動，隱藏數據竊取和拒絕服務攻擊。”

這是一個令人不安的消息。2017年估計安裝了價值84億美元的物聯網設備，我們幾乎可以肯定這只是觸及了安全噩夢的一角。為了減輕此威脅，趨勢科技建議相關組織刪除不必要的M2M服務，同時監控現有設備以確保它們不會泄露私人數據。