資安業者指出,問世超過半世紀的FTP(File Transfer Protocol)協定仍在將近600萬臺面向網際網路的伺服器上執行,其中將近245萬臺使用未加密傳輸。
FTP誕生於1971年由印度學者Abhay Bhushan編寫,用於檔案在用戶端和伺服器間傳輸,1980年被TCP/IP取代。由於FTP設計初衷是為了在不同電腦系統之間提供一個穩定的檔案交換標準,因此並未將安全性或加密列為核心考量。
從安全角度來看,FTP有數個重大缺點。它採用明文(cleartext)傳輸,包括使用者帳號、密碼及檔案內容皆未經加密,因此容易遭到網路側錄、中間人攻擊(MITM)、暴力破解攻擊(Brute Force)被竊取敏感資訊。資安專家建議改用SFTP(SSH File Transfer Protocol)作為互動式或腳本程式傳輸的預設協定,但如果有FTP無法立即替換,可以先改成FTPS是來過渡。FTPS(FTP Secure)是附加TLS的FTP。
即使有如此安全疑慮,但資安業者Censys最新一項研究發現,現在全球仍然有數百萬臺FTP伺服器曝險於網際網路上。這家資安業者估計,截自2026年4月全球還有將近600萬臺主機執行至少一個面向網際網路的FTP服務,雖然比起2024年超過1010萬個減少40%。
在這些FTP主機上,有將近245萬臺主機未觀測到有任何FTP服務的TLS handshake,這意謂這些伺服器可能未更新、不支援或尚未完成TLS設定。研究人員說,這不是指這些主機的檔案傳輸和憑證都一定以明文進行,但是意謂著有相當多數量的傳輸在未加密下進行。
採用TLS的FTP可確保FTP的資料傳輸安全性。從區域來看,香港以87.2%居所有國家之冠。美國為73.7%。以採用TLS的FTP主機比例最低的分別是中國(17.9%)及韓國(14.5%)。研究人員推斷,中國FTP服務集中在阿里雲和中國聯通,其使用的Windows Server VM執行IIS FTP預設關閉TLS。韓國則是因為FTP主機集中在韓國電信住宅網路,其指向的消費者CPE(Customer Premises Equipment,CPE)及小型站點可能永遠不會更新到TLS。
另外日本雖然有高比例FTP採用TLS,但卻佔了採用舊式版本TLSv1.0/1.1的FTP主機的大宗(71%),推論可能出於KDDI及NTT基礎架構之故。
