A Quantitative Analysis of Vulnerabilities and Exploits in Home IoT Devices

Abstract

Tutkimuksessa tarkastellaan IoT laitteiden tietoturvaa ja niiden haavoittu-vuuksia tapaustutkimusmenetelmää käyttäen. IoT laitteiden määrä on kasvanut räjähdysmäisesti ja jopa normaalit kodinkoneet alkavat olla yhdistettynä internetiin. Tämä johtaa siihen, että hyökkäyspinta-ala kasvaa räjähdysmäisesti ja välttämättä tietoturva ei pysy perässä. Tämän takia on syytä jatkuvasti tarkastella markkinoilla olevien laitteiden tietoturvaa ja niistä mahdollisesti löytyviä haavoittuvuuksia. Kirjallisuutta tarkastelemalla havaittiin, että yleisimmät tietoturvaa vaarantavat asiat ovat olleet oletuskäyttäjätunnukset, sekä tarpeettomat verkko-palvelut. Tutkimuksessa kuitenkin havaittiin, että nykyään IoT laitteista ei löydy oletuskäyttäjätunnuksia eikä tarpeettomia verkkopalveluita. Tällä het-kellä suurimman vaaran IoT laitteille aiheuttaa automaattisten päivitysten puuttuminen, sekä perustamisvaiheessa nykyisen käyttöjärjestelmän version tarkastaminen uusien päivitysten varalta. Tämä saattaa jättää laitteita, jotka sisältävät tunnettuja haavoittuvuuksia pitkäksikin aikaa kodin verkkoon ennen uuden päivityksen asentamista. Tutkimuksessa havaittiin uusi hyökkäystekniikka (response size amplification), jonka avulla oli mahdollista aiheuttaa palvelunestotilanne tutkimuksessa olleelle reitittimelle. Tälle haavoittuvuudelle annettiin CVE-ÌD: CVE-2023-25644. Tutkimuksessa tehtiin yhteensä kolme tietoturvahavaintoa, jotka nähtiin tarpeelliseksi raportoida laitteista vastaaville tahoille.

In this research the security and vulnerabilities of IoT devices is inspected by using empirical case study approach. The amount of IoT devices has grown rapidly over the recent years and even normal household apparatus have started to be connected to the internet. This leads to the rapid growth of attack surface and the security of the IoT devices cannot keep up. This is why it is necessary to continuously inspect the level of security and vulnerabilities of the IoT devices at the market. By reviewing the literature, it was observed that the most common security hindering things were default credentials and unnecessary network services. In the research however it was found out that the IoT devices currently in the market do not use default credentials or unnecessary network services any-more. It was discovered that currently the most common security hindering thing was the missing or disabled automatic updates and not checking for current firmware version for new updates when setting up the device. This may leave devices with known critical vulnerabilities in the home network for long periods of time before newest update is installed. In this research new attack technique was discovered (response size amplification), which made it possible to cause a Denial-of-Service situation to the router in research. This vulnerability received CVE-ID: CVE-2023-25644. In this research total of three security findings were made which were seen as necessary to report further to the team in charge of the vulnerabilities in the corresponding company.