MQTT安全大规模测量研究

摘要

消息队列遥测传输协议(MQTT)是物联网中广泛使用的一个轻量级通信协议.通过对全国范围内MQTT协议部署情况进行测量,发现了27949个暴露在公网上的MQTT服务,其中超过80％的服务器使用明文传输数据,57％的MQTT服务器完全没有进行客户端身份认证.即使有的服务器使用了支持认证和加密的TLS协议,其证书部署情况也十分糟糕,仅有20.94％的证书可以通过可信证书的验证流程.文章分析了MQTT服务器容易遭受的隐私窃取、中间人攻击、设备远程篡改等安全威胁,提出了关于MQTT服务器的防御方案及下一步工作.