Forskere udsender en alvorlig advarsel om de sikkerheds- og privatlivsproblemer, der lurer i Smart Homes
I årenes løb har adskillige eksperter advaret om risici vedr. vores privatliv samt cybersikkerheden i forhold til det såkaldte “Smarte” trådløse, kunstig intelligens (AI) og/eller Internet of Things (IoT) (se 1 om biler, 2 om Smart Meters, 3 smart, er sårbart, 4 hvem har kontrollen over det ‘smarte’ hjem). Rapporter om risici såvel som overskridelser fra “Smart Home” teknologier (se 1, 2), herunder “Smart Meters” og termostater, er kommet gennem en længere periode. Nu er en anden rapport kommet til.
Rapporten ‘In the Room Where It Happens: Characterizing Local Communication and Threats in Smart Homes’ blev offentliggjort den 24. okt. 2023 og blev præsenteret på ACM Internet Measurement Conference (ACM IMC’23) i Montreal, Canada.
Foto: Gerd Altmann, Pixabay
Artiklen herunder er fra Aktivist Post den 30. oktober 2023.
Rapportens abstrakt
Netværkskommunikationen mellem IoT-enheder (Internet of Things) på det samme lokale netværk har betydelige konsekvenser for platformens og enhedernes interoperabilitet, sikkerhed, privatliv samt korrekthed. Alligevel er analysen af lokal Wi-Fi-netværkstrafik i hjemmet og dens tilknyttede sikkerheds- og privatlivstrusler stort set blevet ignoreret i den tidligere litteratur, som typisk fokuserer på at studere kommunikationen mellem IoT-enheder og cloud-slutpunkter eller opdage sårbare IoT-enheder, der udsættes for internettet. I dette papir præsenterer vi en omfattende og empirisk undersøgelse der skal kaste lys over den lokale kommunikation inden for en smart home-implementering og dens trusler. Vi bruger en unik kombination af passiv netværkstrafikfangst, protokol honeypots, dynamisk mobilappanalyse og crowdsourcede IoT-data fra deltagere til at identificere og analysere en bred vifte af enhedsaktiviteter på det lokale netværk. Vi analyserer derefter disse datasæt for at karakterisere lokale netværksprotokoller, sikkerhed og privatlivstrusler forbundet med dem. Vores analyse afslører sårbare enheder, usikker brug af netværksprotokoller og følsom dataeksponering af IoT-enheder. Vi leverer bevis på, hvordan disse oplysninger eksfiltreres til fjernservere af mobilapps og tredjeparts-SDK’er, potentielt til husstandsfingeraftryk, overvågning og sporing på tværs af enheder. Vi gør vores datasæt og analyser offentligt tilgængelige for at understøtte yderligere forskning på dette område.
Advarslen
De internationale forskere sender en alvorlig advarsel om de sikkerheds- og privatlivsproblemer, der lurer i Smart Homes. Ledet af IMDEA Networks og Northeastern University var forskerne i stand til at demonstrere en række sikkerheds- og privatlivstrusler på grund af de lokale netværksinteraktioner mellem IoT-enheder (Internet of Things) og mobilapps.
Smart Homes fortsætter med at udvikle sig, og omfatter en bred vifte af forbrugerfokuserede IoT-enheder, herunder smartphones, smart-tv, virtuelle assistenter, og CCTV-kameraer. Disse enheder er udstyret med kameraer, mikrofoner og forskellige sensorer, der kan opfatte aktiviteter i vores mest intime rum – nemlig vores hjem. Men kan vi virkelig stole på, at disse enheder håndterer og beskytter de følsomme data, de indsamler?
“Når vi tænker på, hvad der sker indenfor væggene i vores hjem, tænker vi på det som et pålideligt, privat sted. I virkeligheden finder vi, at de smarte enheder i vores hjem bryder igennem dette slør af tillid og privatliv – og det på måder, der gør det muligt for næsten enhver virksomhed at finde ud af, hvilke enheder der er i dit hjem, at finde ud af, hvornår du er hjemme samt infromation om, hvor dit hjem er,” udtaler David Choffnes, lektor i datalogi og administrerende direktør for Cybersecurity and Privacy Institute ved Northeastern University, i en pressemeddelelse. “Denne adfærd videregives generelt ikke til forbrugerne, og der er behov for bedre beskyttelse i hjemmet.”
Alarmerende fund på ‘Smart Home’ Tech
I undersøgelsen dykkede forskere ned i forviklingerne ved de lokale netværksinteraktioner mellem 93 IoT-enheder og mobilapps, hvor de var i stand til at afsløre adskillige tidligere ukendte sikkerheds- og privatlivsproblemer med konsekvenser i den virkelige verden.
I modsætning til den almindelige opfattelse om, at lokale netværk er sikre miljøer, fremhæver undersøgelsen nye trusler, der er forbundet med utilsigtet eksponering af følsomme data fra IoT-enheder inden for lokale netværk ved hjælp af standardprotokoller som UPnP eller mDNS. Disse trusler omfatter afsløring af unikke enhedsnavne, UUID’er (Universally Unique Identifiers) og endda husstandenes geografiske placering. Det kan udnyttes af virksomheder, som er involveret i overvågningskapitalismen helt uden brugernes viden.
“Ved at analysere de data, der blev indsamlet af IoT Inspector, fandt vi bevis for, at IoT-enheder utilsigtet udsatte mindst en PII (personligt identificerbare oplysninger), som unik hardwareadresse (MAC), UUID eller unikke enhedsnavne i tusindvis af smarte hjem i den virkelige verden,” forklarer en af forfatterne bag studiet Vijay Prakash, ph.d.-studerende fra New York University Tandon School of Engineering. “Enhver enkelt PII er nyttig til at identificere en husstand, men at kombinere alle tre sammen gør en bolig meget mere unikt og meget let identificerbart. Til sammenligning, hvis en person får taget fingeraftryk ved hjælp af den enkleste browserfingeraftryksteknik, er de lige så unikke som en ud af 1.500 mennesker. Hvis et smart home med alle tre typer identifikatorer får taget fingeraftryk, er det lige så unikt som en ud af 1,12 millioner smarte hjem.”
Det potente våben i lokale netværksprotokoller
Undersøgelsen understreger, hvordan lokale netværksprotokoller kan fungere som sidekanaler til at få adgang til data, der teoretisk er beskyttet af mobilapptilladelser, såsom husstandsplaceringer.
“En sidekanal er en lusket måde til indirekte at få adgang til følsomme data. For eksempel skal Android-appudviklere anmode om og få brugernes samtykke til at få adgang til data som geolocation,” forklarer Narseo Vallina-Rodriguez, lektor i IMDEA Networks og medstifter af AppCensus. “Vi har imidlertid vist, at visse spyware-apps og reklamebureauer misbruger lokale netværksprotokoller til tavst at få adgang til sådanne følsomme oplysninger uden brugernes viden. Alt, hvad de skal gøre, er blot venligt at anmode andre IoT-enheder, som er implementeret i det lokale netværk ved hjælp af standardprotokoller som UPnP.
“Vores undersøgelse viser, at de lokale netværksprotokoller, der bruges af IoT-enheder, ikke er tilstrækkeligt beskyttet og afslører følsomme oplysninger om hjemmet og den brug, vi gør af enhederne,” tilføjer Juan Tapiador, professor ved Universidad Carlos III de Madrid. “Disse oplysninger indsamles på en uigennemsigtig måde og gør det lettere at oprette profiler om vores vaner eller vores socioøkonomiske niveau.”
Bredere implikationer og opfordringer til handling
Konsekvenserne af denne forskning går ud over den akademiske verden og understreger behovet for, at producenter, softwareudviklere, IoT- og mobilplatformoperatører og politikere træffer afgørende foranstaltninger for at forbedre privatlivets fred og sikkerhed for smarte hjemmeenheder og husholdninger. Forskere har allerede ansvarligt afsløret disse problemer til sårbare IoT-enhedsleverandører og Googles Android Security Team, hvilket har foranlediget sikkerhedsforbedringer i nogle af disse produkter.
Læs mere her:
