Пару дней назад мы подняли с вами тему мештастика и, исходя из комментариев, обнаружили, что мы не одиноки в оценке его малой эффективности. В добавок к этому, как я упоминал в прошлый раз, он не является безопасным и любой желающий, при соблюдении определенных условий, может совершенного легально подключиться и управлять вашим устройством. А это доступ к паролю вашего домашнего Wi-Fi, внутренней конфигурации сети, перепискам и ключам шифрования приватных чатов. Как это возможно? 1. Стандартные настройки прошивки мештастика указывают, что PIN-кодом / паролем сопряжения для bluetooth является 123456. Его можно сменить, но … только на другие 6 цифр. Буквенно-цифровой или цифровой на иное количество символов вы поменять не можете: только цифровой пароль от 100000 до 999999, то есть всего 899999 комбинаций, что в современных реалиях подберется достаточно быстро. А если принять во внимание, что простые обыватели его практически никогда не меняют (чтобы не забыть), то дальнейшие действия, я думаю, описывать нет смысла. 2. Часть владельцев используют мештастик не как передвижную точку доступа (например, LILYGO T-Deck), а как стационарное домашнее решение: ставят оборудование не подоконник и “раздают хопы”. В данном случае связь по синему зубу не всегда подходящая, так как если вы уйдете в другую комнату, соединение разорвется. И тут на помощь приходит Wi-Fi: быстрый, надежный, стабильный. Кроме того, установив где-нибудь на локальном сервере/компьютере веб-клиент docker run -d -p 8080:8080 --restart always --name Meshtastic-Web ghcr.io/meshtastic/web вы сможете подключаться к нему не только с телефона, но и с любого устройства, где есть браузер, в том числе с вашего старичка QTEC 9100, например. Но тут-то и кроется дьявол: подключение к мештастику !НЕ ТРЕБУЕТ! аутентификации. Вы просто вводите в качестве адреса подключения IP-адрес или просто meshtastic.local, и соединение с устройством устанавливается: читаем чаты, меняем настройки и т.д. Продолжая тему безрассудности, представьте владельца устройства, который перенаправил порты на своем роутере напрямую в мештастик, чтобы находясь на работе он мог почитать “домашнюю” переписку. То что при указанных выше обстоятельствах это не самая лучшая идея я думаю объяснять не приходится. Что в таком случае можно сделать далее? Правильно: идем на поисковики по IoT, такие как shodan или censys. Я предпочитаю последний и, в качестве поиска, указываю следующее: host.services.endpoints.http.body:"Web server is running.<br><br>The content you are looking for can't be found. Please see: <a href=https://meshtastic.org/docs/software/web-client/>FAQ</a>" Почему именно эта строка? Просто если вы попытаетесь подключиться по сети к мештастику напрямую из браузера, то вас встретит веб-стриница с ошибкой именно этого содержания. В данном случае агрегатор мне выдал 17 IP-адресов и соответствующие порты к ним, где встречается данная комбинация: США 🇺🇸 - 7, и по одному для Испании🇪🇸, Португании🇵🇹, Чехии🇨🇿, Румынии🇷🇴, Тайваня🇹🇼, Украины🇺🇦, Венгрии🇭🇺, Италии🇮🇹, Сербии🇷🇸 и Франции🇫🇷. Российских 🇷🇺 адресов среди этого списка утечек нет. Ну а дальше идем в наш локальный веб-клиент и вводим понравившийся IP-адрес и порт. Если честно, я немного замешательстве: как в 2026 году, при всех ИИ-помощниках и кучах библиотек, разработчики не внедрили простую форму логина и пароля с обязательной сменой последнего при первом запуске? В общем, подводя итог, если вы “счастливый” обладатель мештастика, срочно меняйте на нем bluetooth пароль и не выпускайте его за пределы периметра. 🧠 Обязательно поделись с теми, кому это может быть полезно 📱 Телеграм | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал