Global ETD Search

41	IoT Penetration Testing: Hacking an Electric Scooter Cameron Booth, Louis, Mayrany, Matay January 2019 (has links) The industry of the Internet of Things (IoT) is a burgeoning market. A wide variety of devices now come equipped with the ability to digitally communicate to a wider network and modern electric scooters are one such example of this trend towards a more connected society. With scooter ride-share companies continually expanding in urban areas worldwide these devices are posing a greater attack surface for hackers to take advantage of. In this report we utilize threat modelling to analyse the potential vulnerabilities in a popular electric scooter. Through penetration testing we demonstrate the existence of major security flaws in the device and propose ways in which manufacturers may guard against these exploits in the future. / Internet-of-Things (IoT) växer globalt. Många produkter kommer utrustade med förmågan att digitalt kommunicera med olika nätverk och moderna elektroniska sparkcyklar är ett exempel på denna trend som går mot ett mer uppkopplat och sammankopplat samhälle. I och med att antalet företag som tillhandahåller elsparkcykeltjänster i urbana miljöer över världen växer, så blir dessa produkter ett större mål för hackare att utnyttja. I denna rapport använder vi hotmodellering för att analysera potentiella sårbarheter i en populär elsparkcykelmodell. Genom att penetrationstesta produkten demonstrerar vi allvarliga säkerhetsfel och föreslår förhållningssätt som tillverkare kan ta hänsyn till för att undvika framtida attacker. Internet of Things penetration testing threat modelling ethical hacking Internet of Things penetrationstestning hotmodellering etisk hackning Computer and Information Sciences Data- och informationsvetenskap
42	Ethical Hacking of a Robot Vacuum Cleaner Torgilsman, Christoffer, Bröndum, Eric January 2020 (has links) This study revolves around the safety of IoT devices, more specifically how safe the robot vacuum cleaner Ironpie m6 is. The method is based on threat modeling the device, using the DREAD and STRIDE models. The threats with the highest estimated severity were then penetration tested to see which security measures are implemented to protect against them. Using client side manipulation one vulnerability was found in Trifo’s mobile application ”Trifo home” which could be used to harm customers property. / Den här studien kretsar kring IoT enheters säkerhet, mer specifikt hur säker robotdammsugaren Ironpie m6 är. Metoden är baserad på att hotmodellera enheten med hjälp av DREAD och STRIDE modellerna. Dem allvarligaste hoten blev penetrationstestade för att se vilka säkerhetsåtgärder som har blivit implementerade for att skydda produkten från dem. En sårbarhet upptäcktes i Trifos mobilapplikation ”Trifo Home” som kunde exploiteras via manipulation av klient sidan. Denna sårbarhet kunde användas för att skada kunders ägodelar. IoT Ethical Hacking Penetration testing Threat Model Security DREAD STRIDE Encryption MQTT Ironpie m6 Computer and Information Sciences Data- och informationsvetenskap
43	Ethical Hacking of an Access Control System / Etisk hackning av ett passersystem Almqvist, Oscar January 2022 (has links) Cybersecurity within Internet of Things (IoT) is as relevant as ever, with the increase of digitalization and the connection of increasing numbers of intelligent devices. The devices within an electronic access control system, ranging from credential readers to management applications, are responsible for protecting various assets and users while still allowing for rich functionality. Regardless of its setting and context, the purpose of such a system is to ensure security. This thesis investigates the cybersecurity of an electronic access control system in an apartment building using penetration testing. The system was evaluated in a black-box setting, meaning no inside information about the system was known. This method consisted of an information gathering and enumeration phase, building a threat model that scored the identified threats based on their impact and consequences. Four devices and two software applications were investigated within the electronic access control system. Further, thirteen threats were identified on six attack surfaces: the physical interfaces, the firmware, the network services, web interfaces, a desktop application, and an embedded application. Twelve threats were tested to see if they are exploitable in practice. Results show that ten threats were exploitable, impacting residents and administrative users of the electronic access control system. The impact of the exploits consists of various degrees of sensitive data disclosure, authentication bypass, weak authentication, denial-of-service (DOS), and tampering, spread across the devices and software within the system. Exploits were successfully executed on every attack surface apart from the firmware. Additionally, the found exploits are reported to the affected manufacturer with suggestions to prevent the found vulnerabilities. / Med tanke på den ökande graden av digitalisering och intelligenta enheter i samhället är cybersäkerhet inom sakernas internet mer relevant än någonsin. Enheterna inom ett elektronisk passersystem har som uppgift att skydda både användare och objekt, oavsett miljö eller sammanhang. Detta, samtidigt som de ska erbjuda rik funktionalitet. Den här studien undersöker cybersäkerheten av ett passersystem installerat i ett lägenhetshus med hjälp av penetrationstestning. Systemet evaluerades genom black box testing, vilket betyder att ingen intern information om vare sig systemet eller enheterna var känd. Metoden inleddes av en informationsinsamlingsfas, som sedan ledde till en konstruktion av en hotmodell bestående av potentiella sårbarheter inom systemet. Sårbarheterna funna blev sedan betygsatta baserat på deras påverkan samt konsekvens ifall de skulle lyckas genomföras. Fyra enheter och två mjukvaruapplikationer inom passersystemet undersöktes. Tretton sårbarheter identifierades på de följande sex attackytorna: fysiska gränssnitt, firmware, nätverkstjänster, webbgränssnitt, datorprogram, samt inbäddade applikationer. Tolv sårbarheter testades för att se de kunde genomföras på systemet. Resultat visar att tio sårbarheter kunde genomföras, vilket påverkade både boende och administrativa användare i passersystemet. Detta resulterade i olika grader av utlämnande av känsliga uppgifter, förbikoppling av autentisering, denial-of-service (DOS), och manipulering, spritt över de olika enheterna och applikationerna i passersystemet. Förutom via firmware så hade samtliga attackytorna någon form av sårbarhet som gick att genomföras. De funna sårbarheterna blev rapporterade till passersystemets tillverkare med förslag på hur de kan åtgärdas. Cybersecurity Access control systems IoT Penetration testing Threat modeling Cybersäkerhet Passersystem Sakernas internet Penetrationstestning Hotmodellering Computer Sciences Datavetenskap (datalogi)
44	Penetration Testing Ten Popular Swedish Android Applications Astély, Alexander, Ekroth, Johan January 2022 (has links) As more services previously conducted physically are being conducted on mobiles, the security of mobile applications has become a more important part of the development. These mobile applications may handle sensitive information for the user such as payment data, health data, and other information that can have value for malicious actors. Therefore, it is crucial that the applications are secure against a various array of cybersecurity threats. This includes following data protection standards to secure the IT infrastructure surrounding the application from intrusion. This thesis aims to provide a general overview of the security for ten popular Android applications that are aimed at the Swedish Android user base. To evaluate the security of the applications, the process of ”penetration testing” was used to try find and exploit vulnerabilities. The results of the penetration testing process yielded no proper vulnerabilities in terms of being specific for the Android application software. Noticeable findings during the testing were business logic errors, meaning that they do not enable for further hacking and software exploitation. Our analysis of the results concluded that the main causes for the lack of vulnerabilities found likely has to do with rigorous software testing before release and the security practices in place when development applications of the scale tested. / I takt med att allt fler tjänster som tidigare genomförts fysiskt nu genomförs via mobilapplikationer har säkerheten i utvecklingsprocessen fått en allt viktigare roll. Dessa mobilapplikationer kan hantera känslig information för användaren som till exempel betalningsinformation, hälsoinformation och annan information som kan vara av intresse för illvilliga aktörer. På grund av detta är det avgörande att applikationerna är säkra från en mängd olika cyberhot. Samt att följa dataskyddsstandarder för skydda IT-infrastrukturen kring applikationerna från intrång. Denna uppsats har som avsikt att ge en generell bild av säkerheten för tio populära Androidapplikationer som är riktade mot svenska användare. För att utvärdera säkerheten av en applikationerna användes en process kallad penetrationstestning, som användes för att försöka hitta och utnyttja sårbarheter. Resultatet av penetrationstesten var att inga riktiga sårbarheter kunde hittas som var specifika för Androidapplikationernas mjukvara. Noterbara fynd under penetrationstestningen var svagheter i företagslogik, vilket i detta sammanhang är svagheter som inte möjliggör för vidare intrång. Vår slutsats efter att analyserat vårt resultat är att de huvudsakliga anledningarna till frånvaron av svagheter troligtvis har med den rigorösa testningen som sker före publicering och de säkerhetsrutiner som åtföljs under utvecklingen av applikationer av denna storlek. Penetration testing Android vulnerabilities exploitation mobile security penetrationstest Android sårbarheter exploatering mobilsäkerhet Computer and Information Sciences Data- och informationsvetenskap
45	Penetration testing to improve the security position of a scale-up software company / Penetrationstestning för att förbättra säkerhetspositionen för ett företag i utveckling Amin, Yosef, Roland Pappila, Bength January 2022 (has links) Micro-mobility companies have in recent years introduced electric vehicles such as bikes, scooters and mopeds as a sustainable alternative to traditional combustion engine cars in inner cities. Having electric vehicles available in the cities comes with corporate responsibilities, such as making sure the electric vehicles follow national laws regarding speed and parking. Furthermore, a prerequisite for offering the service is that the electric vehicles should be connected at all times, and that the company has means to make certain that the service is used only by authorized users. This functionality is provided by having an IoT device mounted on the electric vehicle. One problem that arises is that it introduces new attack vectors that put both the company and its users at risk. White hat hackers working together with corporations is the right way to find vulnerabilities. This thesis evaluates the Company’s offered service through the method of threat modeling, by answering the question "Is the Company’s system secure against cyber attacks?". This has been made possible through an active collaboration with the Company, which have prioritized resolving vulnerabilities that have arisen during the project. The results show that there are security flaws present in the current system, hence making room for security improvements. Critical vulnerabilities discovered include adversaries being able to use the offered service for free, hijacking the vehicle, and the Company relying on ’front-end’ security in one payment context. / Mikromobilitetsföretag har de senaste åren introducerat elfordon som cyklar, skotrar och mopeder som ett hållbart alternativ till traditionella fossildrivna bilar i innerstäderna. Att ha elfordon tillgängliga i städerna kommer med företagsansvar, som att se till att elfordonen följer nationella lagar om hastighet och parkering. En förutsättning för att erbjuda tjänsten är vidare att elfordonen alltid ska vara uppkopplade och att företaget har möjligheter att försäkra sig om att tjänsten endast används av behöriga användare. Denna funktionalitet tillhandahålls genom att ha en IoT-enhet monterad på elfordonet. Ett problem som uppstår är att den introducerar nya attackvektorer som utsätter både företaget och dess användare för risker. White hat-hackare som arbetar tillsammans med företag är det rätta sättet att hitta sårbarheter. Denna avhandling utvärderar företagets erbjudna tjänst genom metoden för hotmodellering, genom att svara på frågan "Är företagets system säkert mot cyberattacker?". Detta har möjliggjorts genom ett aktivt samarbete med Företaget, som har prioriterat att lösa sårbarheter som uppstått under projektets gång. Resultaten visar att det finns säkerhetsbrister i det nuvarande systemet, vilket ger utrymme för säkerhetsförbättringar. Kritiska sårbarheter som upptäckts inkluderar att motståndare kan använda den erbjudna tjänsten gratis, kapa fordonet och att företaget förlitar sig på front-end-säkerhet i ett betalningssammanhang. penetration testing ethical hacking threat modeling IoT micro-mobility penetrationstestning etisk hackning hotmodellering IoT mikrorörlighet Computer and Information Sciences Data- och informationsvetenskap
46	Ethical hacking of Garmin’s sports watch Karlsson Malik, Josef January 2021 (has links) IoT devices within the technical market are rapidly growing in popularity. However, they are still young and due to the rapid growth and demand of the market, they are also known to be more vulnerable to attacks compared to other applications. The smartwatch is an IoT device that collects a large amount of personal data and monitors a consumer continuously, therefore it also comes with a great privacy risk if there are vulnerabilities in the device. The objective of this thesis was to assess the security of Garmin’s smartwatch Venu and to demonstrate whether the smartwatch is secure or not. The task of fully validating the security of an application or device is nontrivial and cannot be perfectly achieved. However, this thesis uses a systematic approach using state of the art approaches to attempt to assess security. The methodology PTES was applied which includes threat modelling. Threat modelling was used to list the possible vulnerabilities existing on the smartwatch. The tested vulnerabilities were selected based on the delimitations as well as their placing on an applied risk matrix. The vulnerabilities were then tested based on OWASP:s testing guide and ASVS. It was found that Garmin Venu was generally secure with a few minor security flaws. The Swedish law limited the possible security tests, as this thesis was done without collaboration with Garmin. However, the thesis does provide pointers of needed further investigation for vulnerabilities as well as conclusions that suggest that the smartwatch is secure. The threat model in this thesis provides identified threats that were not analysed due to time constraints. The conclusion of this thesis encourages further analysis of the operating system Garmin runs on, as it opens up more potential threats to be penetration tested. / IoT-enheter inom den tekniska marknaden växer snabbt i popularitet. De är dock fortfarande nyutkomna och på grund av den snabba tillväxten och efterfrågan på marknaden är de också kända för att vara mer utsatta för attacker jämfört med andra applikationer. Smartklockan är en IoT-enhet som samlar in en stor mängd personuppgifter och kontinuerligt övervakar en konsument. Följaktligen tillkommer en stor integritetsrisk om det finns sårbarheter i enheten. Syftet med detta examensarbete var att bedöma säkerheten för Garmins smartklocka Venu och undersöka om smartklockan är säker eller inte. Uppgiften att helt validera säkerheten för en applikation eller enhet är inte enkel och kan inte fullbordas. Emellertid använder detta arbete ett systematiskt tillvägagångssätt som använder avancerade metoder för att försöka bedöma säkerheten. Metoden PTES tillämpades vilken inkluderar hotmodellering. Hotmodellering användes för att lista upp de möjliga sårbarheter som finns på smartklockan. De testade sårbarheterna valdes utifrån begränsningarna för examensarbetet och deras placering i en tillämpad riskmatris. Sårbarheterna testades sedan baserat på OWASPs testguide och ASVS. Sammanfattningsvis konstaterades att Garmin Venu i allmänhet var säker med några mindre säkerhetsfel. Svensk lag begränsade de möjliga säkerhetstesterna, eftersom detta examensarbete gjordes utan samarbete med Garmin. Arbetet ger tips om ytterligare väsentliga granskningar för sårbarheter samt bidrar med slutsatser som tyder på att smartklockan är säker. Hotmodellen i detta arbete innehåller identifierade hot som inte analyserades på grund av tidsbegränsning. Avslutningen i detta examensarbete uppmuntrar bland annat till ytterligare analys av det operativsystem Garmin körs på, eftersom det öppnar upp möjligheten till ytterligare penetrationstest av potentiella hot. IoT smartwatch security ethical hacking penetration testing IoT smartklocka säkerhet etiskt hackande penetrationstest Computer Sciences Datavetenskap (datalogi)
47	Denial-of-service attacks against the Parrot ANAFI drone / DoS- attacker mot drönaren Parrot ANAFI. Feng, Jesse, Tornert, Joakim January 2021 (has links) As the IoT market continues to grow, so does the need for secure wireless communication. Drones have become a popular gadget among both individuals and various industries during the last decade, and the popularity continues to grow. Some drones use Wi-Fi technology for communication, such as the Parrot ANAFI, which introduces many of the same security threats that are frequently found in general IoT. Therefore, this report covers a common group of cyberattacks, known as denial-of-service attacks, their effects on the Parrot ANAFI, and their ease of use. A threat model was created to have an overview of the system architecture, and all of the identified threats were assessed using DREAD. All of the software tools used in this report can be found for free on the Internet using search engines and simple key words. The results showed that the drone is generally secure, but it is vulnerable to a certain denial-of-service attack, which can open the door to multiple attack surfaces if the password for the drone’s Wi-Fi is not strong enough. Some suggestions for mitigating these threats are presented at the end of the report. / I takt med att IoT-marknaden fortsätter att växa ökar också behovet av säker trådlös kommunikation. Drönare har blivit en populär pryl bland såväl privatpersoner som diverse industrier under det senaste decenniet, och populariteten fortsätter att växa. Vissa drönare använder Wi-Fi-teknik för kommunikation, till exempel Parrot ANAFI, vilket introducerar många av de säkerhetshot som ofta existerar bland IoT i allmänhet. Den här rapporten täcker därför en välkänd grupp av cyberattacker, som kallas denial-of-service-attacker, deras effekter på Parrot ANAFI och deras användarvänlighet. En hotmodell skapades för att ha en överblick över systemarkitekturen och alla identifierade hot rangordnades med hjälp av DREAD. Alla programvaruverktyg som används i denna rapport kan hittas gratis på Internet med hjälp av enkla sökningar på nyckelord. Resultaten påvisar att drönaren i allmänhet är säker, men att den är sårbar för en viss typ av denial-of-service-attack, vilket kan öppna dörren till flera attackytor om lösenordet för drönarens Wi-Fi inte är tillräckligt starkt. Några förslag för att mildra dessa hot presenteras i slutet av rapporten. Penetration testing cyber security drone denial-of-service attacks Wi-Fi IEEE 802.11. Computer and Information Sciences Data- och informationsvetenskap
48	Are modern smart cameras vulnerable to yesterday’s vulnerabilities? : A security evaluation of a smart home camera / Undviker dagens smarta kameror gårdagens sårbaraheter? : Utvärdering av säkerheten hos en smart hem kamera Larsson, Jesper January 2021 (has links) IoT cameras can allow users to monitor their space remotely, but consumers are worried about the security implications. Their worries are neither unfounded as vulnerabilities repeatedly have been found in internet connected cameras. Have modern cameras learned from the mistakes of their predecessors? This thesis has performed a case study of a consumer smart camera popular on the Swedish market. The camera was evaluated through a pentest. The evaluation found that the camera’s cloud centric design allowed it to side step issues present in earlier models. However, it was demonstrated that it is possible to detect potentially sensitive events, e.g. when the camera notice motion, by just inspecting the amount of traffic it sends. Other tests were not able to demonstrate vulnerabilities though. Based on these findings it was concluded that the camera were more secure than it’s predecessors, which supports that the market has improved. / Konsumenter kan med IoT kameror på distans överse sin egendom. De är dock oroliga över hur säkra kamerorna är. Denna oro existerar inte utan god anledning. Sårbarheter har upprepade gånger påvisat finnas i internetuppkopplade kameror. Har dagens kameror lärt sig av deras föregångares misstag? Detta examensarbete har testat en smart kamera som är populär på den svenska marknaden. För att fastställa hur säker kameran är genomfördes ett penetrationstest. Undersökning fann att kameran lyckats kringgå tidigare vanliga sårbarheter genom att förlita sig på molnet. Undersökning kunde dock konstatera att en motståndare kan läcka potentiellt känslig information, t.ex. när kameran upptäcker rörelse, bara genom att mäta hur mycket nätverkstrafik kameran sänder. Undersökningen kunde dock inte påvisa andra sårbarheter. Baserat på dessa resultat fann studien att denna kamera är säkrare än sina föregångare, och att detta stödjer tesen att marknaden som helhet förbättrats. Security Penetration testing Threat modelling Internet of things Smart cameras Säkerhet penetrationstestning hotmodellering Sakernas internet Smarta kameror Computer Sciences Datavetenskap (datalogi)
49	Evaluating the security of a smart door lock system Veijalainen, Sebastian, Noreng Karlsson, Tommy January 2021 (has links) Smart home appliances and IoT devices in general are a fast growing market. Smart door locks are one type of device which is included in these categories. The smart door lock replaces a common deadbolt lock. In this study a smart door lock was penetration tested. The project started with a literature study, followed by a reconnaissance phase for gathering information about the smart door lock system. A threat model was created based on the findings during the reconnaissance phase and with the help of the STRIDE and DREAD frameworks. Penetration tests were chosen and conducted based on the threat model. The results of the penetration tests showed no major vulnerabilities, but a weakness in the communications between the mobile app and the server. / Smarta apparater och generellt enheter på sakernas internet är en snabbt växande marknad. Smarta dörrlås är en slags enhet som inkluderas i dessa kategorier. I den här studien penetrationstestades ett smart dörrlås. Projektet började med en litteraturstudie, följt av en spaningsfas för att samla in information om det smarta låssystemet. En hotmodell skapades baserad på fynden från spaningsfasen och med hjälp av ramverken STRIDE och DREAD. Penetrationstester valdes och genomfördes baserat på hotmodellen. Resultaten från penetrationstesterna visade inga större sårbarheter, men en svaghet i kommunikationen mellan mobilappen och värddatorn. Ethical hacking penetration testing smart door lock Etisk hackande penetrationstestning smart dörrlås Computer and Information Sciences Data- och informationsvetenskap
50	How Secure are Drones? : A security analysis of a drone system Hamza, Pebo, Qassim, Ahmmad January 2021 (has links) Drones are a crucial part of our future society. They are a part of the recent autonomous revolution that has been initiated by AI. Drone adoption in the commercial sector is ever-growing. If we are to make these devices a part of our critical infrastructure, then we should ensure that they are secure from malicious actors who seek to exploit them. By performing a thorough investigation of the security of a specific popular drone model, the DJI Mini 2, we have established a general security analysis of its system and identified probable threats. Our research has mapped out and analyzed the internal workings of the drone to understand how the system works and to identify what security precautions DJI have taken as they developed this drone. Our research and analysis of the DJI Mini 2 did not reveal any major vulnerabilities. This research focused on examining and trying to intercept the wireless communication between the ground control and drone, which is an in-house transmission technology named Ocusync. The analysis revealed that Ocusync is a robust technology that is difficult for attackers to listen to and to tamper with. / Drönare är en nödvändig del av vårt framtida samhälle. De är en del av den nya automatiseringrevolutionen som har initierats av AI. Användandet av drönare inom den kommersiella sektorn växer ständigt. Om vi ska göra dessa enheter till en del av vår kritiska infrastruktur, då behöver vi säkerställa att de är säkra från illvilliga aktörer som söker att utnyttja dem. Genom en grundlig undersökning av säkerheten av en specifik populär drönarmodell, nämligen DJI Mini 2, har vi etablerat en generell säkerhetsanalys om dess system och identifierat möjliga hot. Vår forskning har kartlagt och analyserat det interna processerna av drönaren för att förstå hur systemet funkar och för att identifiera vilka säkerhetsåtgärder som DJI har tagit under utvecklingen av denna drönare. Vår forskning och analys av DJI Mini 2 avslöjade inga större sårbarheter. Denna forskning fokuserade på att undersöka och försöka fånga upp den trådlösa kommunikationen mellan markkontroll och drönare, vilket är en intern överföringsteknologi som heter Ocusync. Analysen avslöjade att Ocusync är en robust teknologi som är svår för angripare att lyssna på och manipulera. Drone UAV hacking security threat modeling penetration testing Drön UAV hacking säkerhet hotmodellering penetrationstestning Computer and Information Sciences Data- och informationsvetenskap

Search results