Analýza zranitelností zařízení chytré domáctnosti

Abstract

Dostupnosť IoT zariadení za posledné roky vzrástla a uživatelia implementujú čoraz častejšie smart home prvky do domov. Popularita týchto zariadení vychádza z použitia nových technologií a protokol, ktoré uľahčujú control domácnosti. Smart home je jedna z kategórií IoT zariadení, kedže smart home ekosystém spája všetky zariadenia do jednej siete. Bezpečnosť súčasných IoT zariadení ale ešte nebola dostatočne preskúmaná. Preto je dôležité vyhodnotiť bezpečnosť smart home zariadení, ktoré kontroluje zásadné a citlivé aspekty domácnosti. Posledný populárny zoznam IoT zraniteľnosti vyšiel v roku 2018. Cieľom práce je vyhodnotiť bezpečnosť smart home zariadení a porovnať výsledky s existujucími štúdiami. Práca obsahuje návrh metodológiu pre rýchlu identifikáciu IoT zraniteľností vo forme minipentestu. Vybrané kategórie smart home zariadení boli chytré kamery (Tapo C200, Tapo C320WS), chytré kontrolné jednotky (Tesla Zigbee Hub), chytré zámky (Danalock, Danapad) a chytré senzory (Tesla smart smoke detector). Dokopy bolo analyzovaných šesť zariadení - dve kamery, jedna kontrolná jednotka, dve zariadenia pre chytré zámky a jeden sensor. Analýza odhalila zraniteľnosti, ktoré boli porovnané s OWASP IoT Top 10 a s výsledkami súčasne prebiehajúceho výskumu, ktorý navrhuje nový zoznam najčastejších IoT zraniteľností.

Smart home device availability has risen in the last few years, and users widely implemented smart home elements into their houses. The popularity of these devices stems from the usage of new technologies and protocols, which make the control of the house more convenient. The smart home is one of the categories of IoT devices, as the smart home ecosystem connects all devices into one network. Nevertheless, the security evaluation in IoT devices remains unknown. Therefore, it is vital to examine the security state of smart home devices, which controls crucial and sensitive aspects of a house. The last popular overview of IoT devices was released in 2018. The thesis aims to evaluate the security of smart home devices and compare the results with existing overviews. A methodology for the quick identification of vulnerabilities in IoT devices was proposed in the form of a minipentest. The selected categories of smart home devices were smart cameras, smart locks, smart hubs, and smart sensors. In total, six devices were analyzed - 2 smart cameras (Tapo C200, Tapo C320WS), one smart hub (Tesla Zigbee Hub), two smart lock appliances (Danalock, Danapad), and one smart smoke (Tesla smart smoke detector). The analysis uncovered vulnerabilities compared with OWASP IoT Top 10 and with simultaneous research proposing a new list of top IoT vulnerabilities.