Пару дней назад мы подняли с вами тему мештастика и, исходя из комментариев, обнаружили, что мы не одиноки в оценке его малой эффективности. В добавок к этому, как я упоминал в прошлый раз, он не является безопасным и любой желающий, при соблюдении определенных условий, может совершенного легально подключиться и управлять вашим устройством.
А это доступ к паролю вашего домашнего Wi-Fi, внутренней конфигурации сети, перепискам и ключам шифрования приватных чатов. Как это возможно?

1. Стандартные настройки прошивки мештастика указывают, что PIN-кодом / паролем сопряжения для bluetooth является 123456. Его можно сменить, но … только на другие 6 цифр. Буквенно-цифровой или цифровой на иное количество символов вы поменять не можете: только цифровой пароль от 100000 до 999999, то есть всего 899999 комбинаций, что в современных реалиях подберется достаточно быстро. А если принять во внимание, что простые обыватели его практически никогда не меняют (чтобы не забыть), то дальнейшие действия, я думаю, описывать нет смысла.

2. Часть владельцев используют мештастик не как передвижную точку доступа (например, LILYGO T-Deck), а как стационарное домашнее решение: ставят оборудование не подоконник и “раздают хопы”. В данном случае связь по синему зубу не всегда подходящая, так как если вы уйдете в другую комнату, соединение разорвется.
   И тут на помощь приходит Wi-Fi: быстрый, надежный, стабильный. Кроме того, установив где-нибудь на локальном сервере/компьютере веб-клиент
   docker run -d -p 8080:8080 --restart always --name Meshtastic-Web ghcr.io/meshtastic/web
   вы сможете подключаться к нему не только с телефона, но и с любого устройства, где есть браузер, в том числе с вашего старичка QTEC 9100, например.

Но тут-то и кроется дьявол: подключение к мештастику !НЕ ТРЕБУЕТ! аутентификации. Вы просто вводите в качестве адреса подключения IP-адрес или просто meshtastic.local, и соединение с устройством устанавливается: читаем чаты, меняем настройки и т.д.
Продолжая тему безрассудности, представьте владельца устройства, который перенаправил порты на своем роутере напрямую в мештастик, чтобы находясь на работе он мог почитать “домашнюю” переписку. То что при указанных выше обстоятельствах это не самая лучшая идея я думаю объяснять не приходится.

Что в таком случае можно сделать далее? Правильно: идем на поисковики по IoT, такие как shodan или censys. Я предпочитаю последний и, в качестве поиска, указываю следующее:

host.services.endpoints.http.body:"Web server is running. The content you are looking for can't be found. Please see: FAQ"

Почему именно эта строка? Просто если вы попытаетесь подключиться по сети к мештастику напрямую из браузера, то вас встретит веб-стриница с ошибкой именно этого содержания.

В данном случае агрегатор мне выдал 17 IP-адресов и соответствующие порты к ним, где встречается данная комбинация: США 🇺🇸 - 7, и по одному для Испании🇪🇸, Португании🇵🇹, Чехии🇨🇿, Румынии🇷🇴, Тайваня🇹🇼, Украины🇺🇦, Венгрии🇭🇺, Италии🇮🇹, Сербии🇷🇸 и Франции🇫🇷. Российских 🇷🇺 адресов среди этого списка утечек нет.
Ну а дальше идем в наш локальный веб-клиент и вводим понравившийся IP-адрес и порт.

Если честно, я немного замешательстве: как в 2026 году, при всех ИИ-помощниках и кучах библиотек, разработчики не внедрили простую форму логина и пароля с обязательной сменой последнего при первом запуске?
В общем, подводя итог, если вы “счастливый” обладатель мештастика, срочно меняйте на нем bluetooth пароль и не выпускайте его за пределы периметра.

🧠 Обязательно поделись с теми, кому это может быть полезно 📱 Телеграм | 📝 Хабр | 💙 ВКонтате

Мештастик! Наверно данное слово слышали все, кто хоть немного погружен в мир IT или радиосвязь. Для тех, кто слышит его впервые, процитирую официальный источник:

Децентрализованная сеть с открытым исходным кодом, работающая автономно на доступных устройствах с низким энергопотреблением. Никаких вышек сотовой связи. Никакого интернета. Только прямое соединение между устройствами.

Говоря своими словами, ребята на базе протокола LoRa и поддерживающего его устройств превратили их в узлы самоорганизующейся сети. Каждый узел может не только принимать и отправлять, но и ретранслировать сообщения соседей, поэтому связь работает “прыжками” (хопами, hops): чем больше узлов вокруг, тем дальше и устойчивее сеть. Фактически пользователи сами создают и расширяют сеть, приобретая и устанавливая устройства с прошивкой мештастика.

Я лично неделю тестировал данную технологию и вот какие особенности я бы выделил в ходе своего теста:

1. Многие энтузиасты в качестве мотивации приобретения устройства указывают, что в случае ЧП/ЧС, когда сотовая и интернет связь не будут работать, через мештастик вы сможете оставаться на связи. Отчасти правда … пока у вас не сядет батарейка в телефоне/компьютере или обособленном устройстве, то есть максимум 2 дня.

2. В рамках данной сети можно отправить только текст (никаких фото/видео/голосовух), да и тот ограничен 200 символами. Масла в огонь еще и подливает тот факт, что сообщение может отправляться до 20 секунд и … так и не отправиться. И тогда приходится отправлять сообщение еще раз. И еще раз. А иногда и еще раз.

3. Да, сеть работает без интернета. Но можно подключить MQTT (поговорим о нем в одной из следующих статье) и тогда ваши сообщения будут транслироваться на общий сайт, где их можно почитать не только по своему региону, но и в принципе по всей 🇷🇺 России.

4. Общение в сети происходит, в основном, через общий чат. К сожалению, он не дотягивает до чатов из начала 2000-х, так как всё общение сводится к “пинг, проверка связи, кто меня слышит” или “кто пингует, тот гей” (собственно, сами можете в этом убедиться до приобретения устройства, почитав чат своего города по ссылке из пункта 3).

5. Для тестов я себе приобрел самый бюджетный вариант в виде HELTEC V3. Данный аппарат, как и многие другие, не переваривает кириллицу на своем экране, ограничен памятью в 32 архивных сообщения и установлен лимит в 200 нод для передачи. Все что свыше - постобработка на стороне приложения, которое любит подвиснуть.

6. Если вы работаете на 🐧 линуксе - бубен для перепрошивки устройства все-таки достать придется, так как предлагаемые вендором методы не работают.

7. Отсутствие аутентификации в принципе, что серьезно вредит безопасности. Мне удалось найти и подключиться к чужой ноде (🇵🇱Польша), а также получить доступ к их сообщениям и настройкам (в том числе Wi-Fi пароля).

Говоря про расстояние, то оно может показаться внушительным. Я, находясь в Сколково, читал и отправлял сообщения в Апрелевку, Селятино, Подольск, Домодедово, Люберцы, ВДНХ, Черкизовская, Красногорск, Химки. Однако, хочется выделить ограничение на передачу в количестве 7 нод: ваше сообщение не увидят люди, находящиеся от вас более чем в 7 хопах (чтобы не захломлять эфир). А так иногда хочется поговорить с другими городами и странами.

К сожалению, количество знаков на пост ограничено. Поэтому, если есть желание более детально углубиться в технологию, могу порекомендовать выпуск 📺 Побединского, где он детально все разъясняет, а также 📺 MeshWorks.

Подводя итог, с моей точки зрения мештастик является хорошо распираеным хайпом: для энтузиастов и верующих в зомби-апокалипсис это хорошая игрушка. Однако, с практической точки зрения данная технология не несет никакой полезной нагрузки, по крайней мере в настоящее время.
Но если вам некуда потратить пару тысяч рублей, я бы предложил приобрести СиБи или иную КВ-радиостанцию, которая по всем показателям перекрывает мештастик: скорость, дальность, полезность (особенно 15 канал АМ ;)

🧠 Обязательно поделись с теми, кому это может быть полезно Телеграм