Om du är ute efter en internetansluten garageportöppnare, dörrklocka, termostat, övervakningskamera, trädgårdsbevattningssystem, slow cooker – eller till och med en låda med anslutna glödlampor – en ny webbplats kan hjälpa dig att förstå säkerhetsproblemen som dessa skinande nya enheter kan ge ditt hem.

Konsumentklassade internet of things (IoT)-enheter är inte precis kända för att ha stränga säkerhetsrutiner. För att rädda köpare från att ta reda på det på den hårda vägen, forskare från Georgia Institute of Technology och University of North Carolina i Chapel Hill har gjort säkerhetsbedömningar av representativa enheter, ger poäng från 28 (ett F) upp till 100.

Deras sajt, https://yourthings.info, visar rankningar för 45 enheter, även om totalt 74 har utvärderats. Det är knappast en fullständig sammanfattning av de tiotusentals tillgängliga enhetstyper, men den stora idén bakom projektet är att hjälpa konsumenter att förstå viktiga frågor innan de ansluter en ny IoT-hjälpare till sina hemnätverk.

"Många människor som köper dessa enheter förstår inte helt riskerna med att installera dem i sina hem, " sa Georgia Tech Graduate Research Assistant Omar Alrawi. "Vi vill ge insikt genom att tillhandahålla säkerhetsklassificeringar för enheterna vi har testat."

Röstaktiverade personliga digitala assistenter är bland de vanligaste IoT-enheterna för hemmet, men om den inte är korrekt installerad, de kan ge oönskad åtkomst till de hemnätverk som de är anslutna till, varnade Manos Antonakakis, en cybersäkerhetsforskare och docent vid Georgia Techs School of Electrical and Computer Engineering.

"Om du har en IoT-app som är sårbar, den som har tillgång till den appen har inte bara tillgång till din personliga information, men kan också hoppa in i ditt hem och avlyssna dina konversationer, ", sa han. "Allt som är kopplat i hemmet i närheten av den personliga assistenten kan också interagera med det. Om det finns sårbar programvara som körs på enheten, det skulle kunna utnyttjas inom hemnätverket."

Ett problem är att de flesta hemnätverk konfigurerades för enkla uppgifter som att dela skrivare, så de saknar den typ av säkerhetskontroller som finns på företagssystem på företag, noterade Chaz Lever, en forskningsingenjör vid Georgia Techs School of Electrical and Computer Engineering.

"Hemnätverket börjar likna företagsnätverk med en rad tjänster som måste skyddas, ", sade spaken. "Men den genomsnittliga konsumenten kommer inte att vara utrustad för att göra det. De har ingen IT-personal som gör revisioner och säkrar enheterna. Om dessa enheter inte är säkra ur kartongen och det inte finns enkla sätt att säkra dem, de kan öppna hemmet för en ny vektor av attacker."

För att ge konsumenterna användbara råd, forskarna utvecklade ett ramverk för att analysera säkerhetskomponenter i enheterna. I vad som tros vara det första försöket att objektivt bedöma riskerna med IoT-utrustning, de undersökte själva enheterna, hur enheterna kommunicerar med molnservrar, applikationerna som körs på enheterna, och de molnbaserade slutpunkterna.

"Ju fler tjänster som körs på enheten, ju högre sannolikhet är att några av dem kommer att vara sårbara för attacker, " sa Antonakakis. "Att tillhandahålla många tjänster kan vara attraktivt ur ett marknadsföringsperspektiv, men om du har flera tjänster, risken ökar."

I sin studie av IoT-enheter, forskarna fann stora variationer i säkerhet beroende på tillverkare. I vissa fall, Utrustning tillverkad av små och mindre kända företag presterade bättre än enheter tillverkade av större företag.

"Det finns vissa enheter som gör säkerheten riktigt bra, och andra tillverkare bör lära sig av dessa exemplariska enheter, " sa Alrawi. "Vi såg hela spektrat av bra och dåliga, och ibland blev vi förvånade över resultatet av vår utvärdering."

Eftersom de är designade för att installeras av konsumenter, dessa IoT-enheter måste vara lätta att använda. Dock, ibland är användarvänlighet säkerhetens fiende. Ett exempel är en tjänst som kallas UPnP, vilket gör enheter kända för nätverket under installationen så att kommunikation kan upprättas.

Men en enhet som tillkännager sig i nätverket kan locka till sig angripare, Spak noterade. "Det är till hjälp för enheterna att kommunicera vad de gör, men det öppnar för sårbarheter. Valet av protokoll påverkar inte bara enheten, men också säkerheten för nätverket som det körs på."

Internetanslutna glödlampor kommer sannolikt inte att ha lång livslängd, men det är inte fallet med dyra apparater som internetanslutna kylskåp. Antonakakis oroar sig för att dessa enheter kan bli säkerhetsrisker utan regelbundna uppdateringar.

"Helst, konsumenten ska inte behöva vara medveten om att deras kylskåp behöver uppdateringar som måste laddas ner till enheten, ", sa han. "Vi vill att det ska ske automatiskt och säkert. Varför skulle någon behöva veta hur man lappar sitt kylskåp?"

Även om tanken på att hacka en slow cooker kan verka underhållande, enheterna har värmeelement som kan orsaka brand om en illvillig aktör höjer temperaturen. Attacker kan också drabba fler än en husägare. 2016, Mirai botnät utnyttjade osäkra internetanslutna kameror – många av dem babymonitorer – för att skapa en massiv distribuerad överbelastningsattack som gjorde att mycket av internet inte var tillgängligt.

Förutom att utbilda konsumenter, forskarna hoppas kunna uppmuntra bättre säkerhet från enhetstillverkare genom att spåra säkerhetstrender över tiden.

"Vi hoppas kunna inspirera både tekniska och politiska nästa steg, ", sa Antonakakis. "Det finns ett behov av att fastställa policy och standarder. Vi vill höja säkerhetsnivån för alla dessa enheter. Det finns mycket mer som skulle kunna göras."