Wie der Security-Hersteller Avast in einer Mitteilung bekannt gibt, wurden weltweit über 49'000 Message Queuing Telemetry Transport (MQTT) Server gefunden, die aufgrund eines falsch konfigurierten MQTT-Protokolls sichtbar sind. Weit mehr als die Hälfte davon – 32'000 – sind ohne Passwortsicherung. Das Protokoll wird benötigt, um einen Server bereitzustellen, über den die IoT-Geräte kommunizieren. Oft befindet sich dieser auf einem privaten PC oder Mini-Computer, der nicht ausreichend geschützt ist, wodurch die Gefahr eines externen Zugriffs erheblich ansteigt.
Als Beispiele für den Missbrauch dieser Lücke gibt Avast an, dass ein Angreifer beispielsweise Informationen aus einem Smart-Home-Netzwerk auslesen oder die verbundenen Geräte manipulieren könnte. "Es ist beängstigend einfach, Zugang und Kontrolle über ein fremdes Smart Home zu erlangen. Schliesslich gibt es immer noch viele unzureichend gesicherte Protokolle aus Zeiten, in denen das Thema digitale Sicherheit noch nicht besonders relevant war", erklärt Martin Hron von
Avast. "Die Verbraucher müssen sich der Sicherheitsrisiken bewusst sein, wenn sie digitale Geräte mit dem Internet verbinden, deren Einstellungen sie nicht vollständig verstehen – und sicherstellen, diese Geräte auch richtig zu konfigurieren." Die einzige Lösung scheint eine fachmännische Konfiguration des MQTT-Protokolls zu sein, wie Avast schreibt. Der gesamte Report lässt sich auf dem Avast-Blog
einsehen.
(win)
