A Quantitative Analysis of Vulnerabilities and Exploits in Home IoT Devices
Tekijät
Päivämäärä
2023Tekijänoikeudet
© The Author(s)
Tutkimuksessa tarkastellaan IoT laitteiden tietoturvaa ja niiden haavoittu-vuuksia tapaustutkimusmenetelmää käyttäen. IoT laitteiden määrä on kasvanut räjähdysmäisesti ja jopa normaalit kodinkoneet alkavat olla yhdistettynä internetiin. Tämä johtaa siihen, että hyökkäyspinta-ala kasvaa räjähdysmäisesti ja välttämättä tietoturva ei pysy perässä. Tämän takia on syytä jatkuvasti tarkastella markkinoilla olevien laitteiden tietoturvaa ja niistä mahdollisesti löytyviä haavoittuvuuksia.
Kirjallisuutta tarkastelemalla havaittiin, että yleisimmät tietoturvaa vaarantavat asiat ovat olleet oletuskäyttäjätunnukset, sekä tarpeettomat verkko-palvelut. Tutkimuksessa kuitenkin havaittiin, että nykyään IoT laitteista ei löydy oletuskäyttäjätunnuksia eikä tarpeettomia verkkopalveluita. Tällä het-kellä suurimman vaaran IoT laitteille aiheuttaa automaattisten päivitysten puuttuminen, sekä perustamisvaiheessa nykyisen käyttöjärjestelmän version tarkastaminen uusien päivitysten varalta. Tämä saattaa jättää laitteita, jotka sisältävät tunnettuja haavoittuvuuksia pitkäksikin aikaa kodin verkkoon ennen uuden päivityksen asentamista.
Tutkimuksessa havaittiin uusi hyökkäystekniikka (response size amplification), jonka avulla oli mahdollista aiheuttaa palvelunestotilanne tutkimuksessa olleelle reitittimelle. Tälle haavoittuvuudelle annettiin CVE-ÌD: CVE-2023-25644. Tutkimuksessa tehtiin yhteensä kolme tietoturvahavaintoa, jotka nähtiin tarpeelliseksi raportoida laitteista vastaaville tahoille.
...
In this research the security and vulnerabilities of IoT devices is inspected by using empirical case study approach. The amount of IoT devices has grown rapidly over the recent years and even normal household apparatus have started to be connected to the internet. This leads to the rapid growth of attack surface and the security of the IoT devices cannot keep up. This is why it is necessary to continuously inspect the level of security and vulnerabilities of the IoT devices at the market.
By reviewing the literature, it was observed that the most common security hindering things were default credentials and unnecessary network services. In the research however it was found out that the IoT devices currently in the market do not use default credentials or unnecessary network services any-more. It was discovered that currently the most common security hindering thing was the missing or disabled automatic updates and not checking for current firmware version for new updates when setting up the device. This may leave devices with known critical vulnerabilities in the home network for long periods of time before newest update is installed.
In this research new attack technique was discovered (response size amplification), which made it possible to cause a Denial-of-Service situation to the router in research. This vulnerability received CVE-ID: CVE-2023-25644. In this research total of three security findings were made which were seen as necessary to report further to the team in charge of the vulnerabilities in the corresponding company.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29740]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Distributed denial-of-service attacks in the Internet
Penttinen, Tuomo (2005) -
Adversarial Attack’s Impact on Machine Learning Model in Cyber-Physical Systems
Vähäkainu, Petri; Lehto, Martti; Kariluoto, Antti (Peregrine Technical Solutions, 2020)Deficiency of correctly implemented and robust defence leaves Internet of Things devices vulnerable to cyber threats, such as adversarial attacks. A perpetrator can utilize adversarial examples when attacking Machine ... -
IoT -based adversarial attack's effect on cloud data platform services in a smart building context
Vähäkainu, Petri; Lehto, Martti; Kariluoto, Antti (Academic Conferences International, 2020)IoT sensors and sensor networks are widely employed in businesses. The common problem is a remarkable number of IoT device transactions are unencrypted. Lack of correctly implemented and robust defense leaves the organization's ... -
A View on Vulnerabilities Within IoT Devices in the Smart Home Environment
Nykänen, Annika; Costin, Andrei (Springer Nature Switzerland, 2023)The number of different devices connected to the Internet is constantly increasing. There is a high demand for these devices, and their benefits are clear for certain groups of users. Some of these devices, the Internet ... -
Attacking TrustZone on devices lacking memory protection
Stajnrod, Ron; Ben Yehuda, Raz; Zaidenberg, Nezer Jacob (Springer Science and Business Media LLC, 2022)ARM TrustZone offers a Trusted Execution Environment (TEE) embedded into the processor cores. Some vendors offer ARM modules that do not fully comply with TrustZone specifications, which may lead to vulnerabilities in the ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.