Forskare vid North Carolina State University har identifierat designfel i "smarta hem" Internet-of-Things (IoT) enheter som tillåter tredje part att förhindra enheter från att dela information. Bristerna kan användas för att förhindra säkerhetssystem från att signalera att det har skett ett inbrott eller ladda upp video av inkräktare.

"IoT-enheter blir allt vanligare, och det finns en förväntning om att de kan bidra till vår säkerhet, säger William Enck, medförfattare till en artikel om upptäckten och en docent i datavetenskap vid NC State. "Men vi har upptäckt att det finns utbredda brister i utformningen av dessa enheter som kan hindra dem från att meddela husägare om problem eller utföra andra säkerhetsfunktioner."

"Väsentligen, enheterna är utformade med antagandet att den trådlösa anslutningen är säker och inte kommer att störas – vilket inte alltid är fallet, " säger Bradley Reaves, medförfattare till artikeln och biträdande professor i datavetenskap vid NC State. "Dock, vi har identifierat potentiella lösningar som kan åtgärda dessa sårbarheter."

Specifikt, forskarna har funnit att om tredje parter kan hacka ett hems router – eller redan känner till lösenordet – kan de ladda upp skadlig programvara för att förhindra nätverkslager till routern. Skadlig programvara tillåter enheter att ladda upp sina "hjärtslag"-signaler, vilket betyder att de är online och funktionella – men det blockerar signaler relaterade till säkerhet, som när en rörelsesensor är aktiverad. Dessa undertrycksattacker kan göras på plats eller på distans.

"En anledning till att dessa attacker är så problematiska är att systemet säger till husägare att allt är OK, oavsett vad som faktiskt händer i hemmet, säger Enck.

Dessa attacker för undertryckande av nätverkslager är möjliga eftersom, för många IoT-enheter, det är lätt att skilja hjärtslagssignaler från andra signaler. Och att ta itu med den designfunktionen kan visa vägen mot en lösning.

"En möjlig lösning skulle vara att göra hjärtslagssignaler omöjliga att skilja från andra signaler, så skadlig programvara kunde inte selektivt låta hjärtslagssignaler passera, " säger TJ O'Connor, uppsatsens första författare och en Ph.D. student vid NC State.

"Ett annat tillvägagångssätt skulle vara att inkludera mer information i hjärtslagssignalen, " säger O'Connor. "Till exempel, om en enhet skickar tre rörelsesensorvarningar, den efterföljande hjärtslagssignalen skulle inkludera data som noterade att tre sensorlarm hade skickats. Även om skadlig programvara för att undertrycka nätverkslagret blockerade sensorvarningssignalerna, systemet skulle se hjärtslagssignalen och veta att tre sensorlarm skickades men inte togs emot. Detta kan sedan utlösa en systemvarning för husägare."

"Inget system kommer att vara perfekt, men med tanke på den utbredda användningen av IoT-enheter, vi tycker att det är viktigt att öka medvetenheten om motåtgärder som enhetsdesigners kan använda för att minska sin exponering för attacker, säger Enck.