Designfejl skaber sikkerhedsrisici for smart home-of-things-enheder i hjemmet

Forskere ved North Carolina State University har identificeret designfejl i "smart home" Internet-of-Things (IoT) -enheder, der tillader tredjeparter at forhindre enheder i at dele oplysninger. Fejlene kan bruges til at forhindre sikkerhedssystemer i at signalere, at der har været indbrud eller upload af video af ubudne gæster.

"IoT -enheder bliver stadig mere almindelige, og der er en forventning om, at de kan bidrage til vores sikkerhed og sikkerhed, "siger William Enck, medforfatter af et papir om opdagelsen og en lektor i datalogi ved NC State. "Men vi har fundet ud af, at der er udbredte fejl i designet af disse enheder, der kan forhindre dem i at underrette husejere om problemer eller udføre andre sikkerhedsfunktioner."

"Grundlæggende, enhederne er designet med den antagelse, at den trådløse forbindelse er sikker og ikke forstyrres - hvilket ikke altid er tilfældet, "siger Bradley Reaves, medforfatter af papiret og en assisterende professor i datalogi ved NC State. "Imidlertid, vi har identificeret potentielle løsninger, der kan løse disse sårbarheder. "

Specifikt, forskerne har fundet ud af, at hvis tredjeparter kan hacke et hjemmes router - eller allerede kender adgangskoden - kan de uploade netværkslagsundertrykkelses -malware til routeren. Med malware kan enheder uploade deres "hjerteslag" -signaler, hvilket betyder, at de er online og funktionelle - men det blokerer signaler relateret til sikkerhed, f.eks. når en bevægelsessensor er aktiveret. Disse undertrykkelsesangreb kan udføres på stedet eller eksternt.

"En af grundene til, at disse angreb er så problematiske, er, at systemet fortæller husejere, at alt er i orden, uanset hvad der rent faktisk sker i hjemmet, "Siger Enck.

Disse netværkslagsundertrykkelsesangreb er mulige, fordi, for mange IoT -enheder, det er let at skelne hjerteslagssignaler fra andre signaler. Og adressering af denne designfunktion kan pege vejen mod en løsning.

"En mulig løsning ville være at gøre hjerteslagssignaler, der ikke kan skelnes fra andre signaler, så malware ikke selektivt kunne tillade hjerteslagssignaler at passere igennem, "siger TJ O'Connor, første forfatter til papiret og en ph.d. studerende på NC State.

"En anden tilgang ville være at inkludere flere oplysninger i hjerteslagssignalet, "O'Connor siger." For eksempel, hvis en enhed sender tre bevægelsessensoradvarsler, det efterfølgende hjerteslagssignal ville omfatte data, der bemærkede, at der var blevet sendt tre sensoradvarsler. Selvom malware -undertrykkelse af malware blokerede sensorens alarmsignaler, systemet ville se hjerteslagssignalet og vide, at der blev sendt tre sensoradvarsler, men ikke modtaget. Dette kan derefter udløse en systemadvarsel for husejere. "

"Intet system bliver perfekt, men i betragtning af den udbredte anvendelse af IoT -enheder, vi synes, det er vigtigt at øge bevidstheden om modforanstaltninger, som enhedsdesignere kan bruge til at reducere deres eksponering for angreb, "Siger Enck.