Katsaus puettaviin IoT-laitteisiin, yleisiin protokolliin ja tietoturvatilanteeseen

Abstract

Tämän työn tarkoituksena on selvittää puettavissa IoT-laitteissa käytettyjen yleisten protokollien soveltuvuutta puettaviin IoT-laitteisiin sekä selvittää kuinka protokollissa olevilta tietoturvaongelmilta voitaisiin suojautua. Työn alkuosassa annetaan kirjallisuuskatsauksen kautta kuvaus puettavista IoTlaitteista sekä esitellään neljä IoT-laitteiden yleisessä käytössä olevaa verkkoprotokollaa (Bluetooth, Wi-Fi, NFC ja Zigbee). Työn loppuosassa toteutetaan kokeellisin keinoin kolme erilaista hyökkäystä protokollia kohtaan. Työssä esitellään hyökkäys Bluetooth-yhteyden paritukseen, hyökkäys Wi-Fi-verkkoliikennettä kohtaan sekä NFC-kortin tietojen kaappaaminen. Työn tuloksina huomattiin, että useissa IoT-laitteissa on käytössä vanhoja protokollia, joissa on tunnettuja tietoturvapuutteita. Esitellyistä hyökkäyksistä todettiin, että tietoturvallisuutta olisi mahdollista parantaa ottamalla käyttöön salausta. Laitteet hyötyisivät protokollan ulkopuolisesta lisäsuojauksesta ja vanhentuneitakin protokollia olisi mahdollista suojata erillisellä ohjelmistotason suojauksella. Edelleen on käytössä paljon palveluita ja laitteita, jotka eivät käytä salausta, vaikka salauksella pystyttäisiin hankaloittamaan laitteisiin kohdistuvia hyökkäyksiä.

The purpose of this work is to study wearable IoT devices and how common protocols suit their needs. The purpose is also to study how the security of the protocols could be increased. The first part of this work provides a brief description of wearable IoT devices through literature review. The work introduces four commonly used network protocols (Bluetooth, Wi-Fi, NFC and Zigbee) and their security situation. The latter part of this work introduces an experimental attack on Bluetooth connectivity, an attack on Wi-Fi network and an attack where NFC data is captured from a NFC card. As a result of this work it was noted that many IoT devices use outdated protocols that have kkown security flaws. Introduced attacks indicated that security could be improved by taking better use of encryption. The devices would benefit from separate software level security measures and even outdated protocols could be protected with it. There are still a lot of services and devices that do not use encryption, even if it could hinder attacks.