Onderzoekers hebben op internet meer dan 32.000 servers ontdekt die voor "smart homes" worden gebruikt en zonder wachtwoord toegankelijk zijn. Het gaat om zogeheten MQTT-servers. MQTT staat voor Message Queuing Telemetry Transport en is een protocol dat wordt gebruikt om smart home-apparaten mee te bedienen en met elkaar te laten verbinden.

De MQTT-server draait bijvoorbeeld op een Raspberry Pi of andere mini-computer waar de smart home-apparaten in verbinding mee staan. "Hoewel het MQTT-protocol zelf veilig is, kunnen er zich beveiligingsproblemen voordoen wanneer het verkeerd wordt geïmplementeerd of geconfigureerd", zegt Martin Hron van anti-virusbedrijf Avast. Onderzoekers van de virusbestrijder vonden via de Shodan-zoekmachine 49.000 MQTT-servers die door een misconfiguratie zichtbaar waren. 32.000 van deze servers waren niet van een wachtwoord voorzien.

"Wanneer het MQTT-protocol niet goed is geconfigureerd, kunnen cybercriminelen volledige toegang tot een woning krijgen en bijvoorbeeld achterhalen wanneer de eigenaren thuis zijn, entertainmentsystemen, stemassistenten en huishoudapparaten manipuleren en slimme deuren openen", gaat Hron verder. Het probleem wordt volgens de onderzoeker veroorzaakt bij het installeren van de systemen.

Vaak maken gebruikers bij de installatie niet alleen het dashboard of configuratiepanel toegankelijk, maar ook de MQTT-server, aangezien deze twee onderdelen vaak op dezelfde machine of server draaien. "Consumenten moeten bewust zijn van de veiligheidskwesties bij het aansluiten van apparaten die persoonlijke delen van hun huis bedienen op diensten die ze niet helemaal begrijpen en het belang van het juist configureren van hun apparaten", aldus de onderzoeker, die verder stelt dat fabrikanten IoT-apparaten moeten ontwikkelen die eenvoudig en op een veilige wijze door gebruikers zijn in te stellen.