Onderzoekers van de North Carolina State University hebben ontwerpfouten vastgesteld in 'smart home' Internet-of-Things (IoT)-apparaten waarmee derden kunnen voorkomen dat apparaten informatie delen. De fouten kunnen worden gebruikt om te voorkomen dat beveiligingssystemen signaleren dat er is ingebroken of video's van indringers uploaden.

"IoT-apparaten komen steeds vaker voor, en er is een verwachting dat ze kunnen bijdragen aan onze veiligheid en beveiliging, " zegt William Enck, co-auteur van een paper over de ontdekking en een universitair hoofddocent informatica bij NC State. "Maar we hebben geconstateerd dat er wijdverbreide gebreken zijn in het ontwerp van deze apparaten die kunnen voorkomen dat ze huiseigenaren op de hoogte stellen van problemen of andere beveiligingsfuncties uitvoeren."

"Eigenlijk, de apparaten zijn ontworpen met de veronderstelling dat draadloze connectiviteit veilig is en niet zal worden onderbroken - wat niet altijd het geval is, " zegt Bradley Reaves, co-auteur van het artikel en een assistent-professor in de informatica bij NC State. "Echter, we hebben mogelijke oplossingen geïdentificeerd die deze kwetsbaarheden kunnen aanpakken."

specifiek, de onderzoekers hebben ontdekt dat als derden de router van een huis kunnen hacken - of het wachtwoord al weten - ze malware voor het onderdrukken van de netwerklaag naar de router kunnen uploaden. Met de malware kunnen apparaten hun "hartslag"-signalen uploaden, wat betekent dat ze online en functioneel zijn, maar het blokkeert signalen met betrekking tot beveiliging, bijvoorbeeld wanneer een bewegingssensor wordt geactiveerd. Deze onderdrukkingsaanvallen kunnen ter plaatse of op afstand worden uitgevoerd.

"Een van de redenen waarom deze aanvallen zo problematisch zijn, is dat het systeem huiseigenaren vertelt dat alles in orde is. ongeacht wat er werkelijk in huis gebeurt, ' zegt Enck.

Deze netwerklaagonderdrukkingsaanvallen zijn mogelijk omdat, voor veel IoT-apparaten, het is gemakkelijk om hartslagsignalen te onderscheiden van andere signalen. En het aanpakken van dat ontwerpkenmerk kan de weg wijzen naar een oplossing.

"Een mogelijke oplossing zou zijn om hartslagsignalen niet te onderscheiden te maken van andere signalen, dus malware kon niet selectief hartslagsignalen doorlaten, " zegt TJ O'Connor, eerste auteur van het papier en een Ph.D. student aan NC State.

"Een andere benadering zou zijn om meer informatie op te nemen in het hartslagsignaal, " zegt O'Connor. "Bijvoorbeeld, als een apparaat drie bewegingssensorwaarschuwingen verzendt, het daaropvolgende hartslagsignaal zou gegevens bevatten die aangeven dat er drie sensorwaarschuwingen waren verzonden. Zelfs als de malware voor het onderdrukken van de netwerklaag de waarschuwingssignalen van de sensor blokkeerde, het systeem zou het hartslagsignaal zien en weten dat er drie sensorwaarschuwingen zijn verzonden maar niet zijn ontvangen. Dit zou dan een systeemwaarschuwing voor huiseigenaren kunnen veroorzaken."

"Geen enkel systeem zal perfect zijn, maar gezien de wijdverbreide acceptatie van IoT-apparaten, we denken dat het belangrijk is om mensen bewust te maken van tegenmaatregelen die ontwerpers van apparaten kunnen gebruiken om hun blootstelling aan aanvallen te verminderen, ' zegt Enck.