Private Information Exposed by the Use of Robot Vacuum Cleaner in Smart Environments

Abstract

Robotstøvsugere er blitt populære IoT enheter og er mye brukt i ulike smarte miljøer. Integrasjon med andre IoT systemer skaper flere sikkerhets og personverns utfordringer ved bruken av disse. Produsenter har utviklet applikasjoner hvor brukere kan konfigurere rengjøring og se informasjon om robotstøvsugeren etter eget ønske. Dette øker integrasjonen mellom brukernes liv og robotstøvsugeren, noe som kan eksponere mer privat informasjon. Industristandarder bruker ende-til-ende kryptering av kommunikasjon mellom applikasjonen, skytjenester og robotstøvsugere for å sikre den private informasjonen som sendes. Selv om denne informasjonen er kryptert, vil metadata i nettverkspakker fortsatt være tilgjengelig gjennom nettverksavlytningsangrep. I dette prosjektet skal vi undersøke hva slags privat informasjon som potensielt kan bli eksponert av denne dataen. En Irobot Roomba i7 ble installert i to forskjellige smarte miljøer hvor et passivt nettverksavlytningsangrep ble gjort mens ulike robotstøvsuger funksjonaliteter ble utført. Analyse av denne dataen avslørte at det var mulig å attribuere flere ulike smarte funksjonaliteter som ble utført av robotstøvsugeren, bare ved å se på Internett trafikken. Ulike signatur-baserte identifiserings algoritmer ble laget og viste en høy deteksjonsrate. Wi-Fi og Internett trafikken til robotstøvsugeren ble sammenlignet og like trafikkmønstre ble funnet, noe som gjør at deteksjonsmetodene også kan brukes for Wi-Fi trafikk. Denne oppgaven tar for seg implementasjon, konfigurasjon og analyse av nettverkstrafikk og presenterer en deteksjonsalgoritme for Irobot Roomba i7 hendelser.

Robot vacuum cleaners are popular IoT devices and are deployed in all kinds of smart environments. Integration with IoT systems introduce more security and privacy issues related to the operation of these devices. Vendors have developed smart phone applications where users can personalize cleaning or view information about the vacuum cleaner. This increase the integration between user's life and the robot vacuum cleaner, which potentially exposes private information. Industry standards include end-to-end encryption between the application, cloud service and robot vacuum cleaner to secure the private information exchanged. Regardless of encryption, network header metadata is still available through network eavesdropping attacks. In this project we investigated the potential private information exposed by this metadata. An Irobot Roomba i7 was deployed in two different smart environments where passive network eavesdropping was conducted during smart feature triggering. Analysis revealed that it was possible to attribute different events triggered on the Irobot Roomba i7, only based on metadata in the Internet traffic capture. Different signature-based detection algorithms are proposed, with a high detection rate. Wi-Fi and Internet capturing metadata were compared and similar patterns were identified, making the detection method applicable for Wi-Fi eavesdropping as well. This thesis covers the implementation, capturing and analysis of network traffic and proposes event detection algorithms.