Unauthorized Smart Lock Access : Ethical Hacking of Smart Lock Systems / Obehörig åtkomst av smarta lås : Etisk hackning av smarta låssystem

Winkelmann, Albin

January 2022

IoT devices have become more common in our everyday lives as they provide more useful features than traditional devices. One such device is the smart door lock, which enables homeowners to grant access on a user-specified level through digital keys and remote operation. However, as smart locks are meant to protect everything we own, they become an attractive target for attackers. This thesis evaluates the Yale Linus and Gimdow smart lock systems through a comprehensive security examination. In order to provide insight into the IT security of common smart locks on the market today and whether or not the companies behind the locks researched have implemented mitigations towards common attacks on smart locks found in earlier research. In doing so, Gimdow proved to lack basic security measures as an attacker could easily get unauthorized access. The Yale Linus system was deemed to have sufficient IT security as no immediate vulnerabilities were found. / IoT-enheter har blivit vanligare i vår vardag eftersom de tillhandahåller fler funktioner än traditionella enheter. En av dessa enheter är det smarta dörrlåset. Låset gör det möjligt för husägare att, på en användarspecificerad nivå, ge åtkomst till hushållet genom digitala nycklar och fjärrstyrning. Men eftersom smarta lås är avsedda att skydda allt vi äger, blir de ett attraktivt mål för angripare. Denna avhandling utvärderade två smarta låssystem av Yale Linus och Gimdow genom en omfattande säkerhetsundersökning. Målet var att ge insikt i IT-säkerheten för smarta lås på marknaden idag, samt kolla ifall låsföretagena bakom de valda låsen har tagit tidigare forskning angående attacker på smart lås i åtanke. I den här studien visade det sig att Gimdow saknar grundläggande säkerhetsåtgärder vilket tillåter en angripare att lätt få obehörig åtkomst. Yale Linus-systemet ansågs ha tillräcklig IT-säkerhet eftersom inga omedelbara sårbarheter kunde hittas.

IoT

threat modeling

computer security

smart lock

pentesting

IoT

hotmodellering

datasäkerhet

smarta lås

penetrationstestning

Computer and Information Sciences

Data- och informationsvetenskap

Security evaluation of a smart lock system / Säkerhetsutvärdering av ett smart låssystem

Hassani, Raihana

January 2020

Cyber attacks are an increasing problem in the society today. They increase dramatically, especially on IoT products, such as smart locks. This project aims to evaluate the security of the Verisure smartlock system in hopes of contributing to a safer development of IoT products and highlighting theexisting flaws of today’s society. This is achieved by identifying and attempting to exploit potential vulnerabilities with threat modeling and penetration testing. The results showed that the system is relatively secure. No major vulnerabilities were found, only a few weaknesses, including the possibility of a successful DoS attack, inconsistent password policy, the possibility of gaining sensitive information of a user and cloning the key tag used for locking/unlocking the smart lock. / Cyberattacker är ett ökande problem i samhället idag. De ökar markant, särskilt mot IoT-produkter, såsom smarta lås. Detta projekt syftar till att utvärdera säkerheten i Verisures smarta låssystem i hopp om att bidra till en säkrare utveckling av IoT-produkter och belysa de befintliga bristerna i dagens samhälle. Detta uppnås genom att identifiera och försöka utnyttja potentiella sårbarheter med hotmodellering och penetrationstestning. Resultaten visade att systemet är relativt säkert. Inga större sårbarheter hittades, bara några svagheter, inklusive möjligheten till en lyckad DoS-attack, inkonsekvent lösenordspolicy, möjligheten att få känslig information från en användare och kloning av nyckelbrickan som används för att låsa/låsa upp smarta låset.

Cyber security

Threat modeling

Penetration testing

Ethical hacking

Smart locks

STRIDE

DREAD

Cybersäkerhet

Hotmodellering

Penetrationstestning

Etisk hackning

Smarta lås

STRIDE

DREAD

Computer and Information Sciences

Data- och informationsvetenskap

Digitala lås i hemtjänst : En förstudie till digitala lås i hemtjänsten / Digital locks in-home care : A feasibility study for digital locks in-home care

Andrén, Emil

January 2019

En undersökning av det upplevda behovet att införa digitala lås på en enhet i Södertälje kommun, ett kvalitetshus används för att välja ett system utav tre. Därefter kalkyleras vad en investering skulle kosta och slutligen levereras en kalkyl som visar vad ett införande skulle kunna generera i monetära termer. Att investera i en pilotanläggning med 77 brukare skulle kosta cirka 50 000 kronor, detta är en sanning med modifikation – alla kostnader är inte medräknade, utan bara licens för mjukvara och hårdvaran. Kalkylen visar en potentiell besparing på: 200 000 kronor om man räknar på 20-minuter, 100 000 kronor om man räknar på 10-minuter och 120 000 kronor om man räknar på 12-minuter. Idag använder kommunen traditionella (fysiska) nycklar och förvarar brukarnas nycklar i både större och mindre skåp hos enheterna. Enligt rutinen ska nycklarna tillbaka till nyckelskåpet vid ett eventuellt byte, detta medför att det blir väldigt mycket spring med nycklarna. Om ett trygghetslarm utlöses så har utföraren 30-minuter att inställa sig hos brukaren. Problem kan uppstå om nycklarna inte finns registrerade i systemet på rätt sätt, samt att personalen under dagen har överlämnat nycklarna till någon annan i personalen och inte lämnat tillbaka nycklarna till nyckelskåpet mellan överlämningarna. Det kan också vara så att nycklar försvinner, som sedan måste ersättas av kommunen. De största tidstjuvarna finns: vid larm, morgonrutinen och byten på dagen. Det händer mycket under en arbetsdag, vilket gör att personalen behöver byta nycklar med varandra och personalen löser detta på det bästa sättet för tillfället och inte alltid enligt rutinen. I rapporten undersöks vilka system som utförarna använder och slutsatsen är att det är lämpligt att försöka använda ett system som passar in smidigt i befintliga system, så att det inte blir ytterligare system. Det är även viktigt vid ett eventuellt införande fundera på hur kommunen tänker organisera sig vid: installation, underhåll och förvaltning – vill kommunen disponera antingen en central enhet, decentraliserad ute hos enheterna eller använda externa entreprenörer, exempelvis en låssmed. Utförarna är positiva och upplever att behovet finns att införa digitala lås, medan fastighetsägarna inte ser en direkt nytta med lösningen. Mycket beror på hur kommunen för dialogen och bjuder in till samtal vid ett tidigt stadium och förklarar vad man har tänkt sig för lösning. / A study of the perceived need to introduce digital locks on a unit in Södertälje municipality, a quality house is used to select a system of three. Then calculates what investment would cost and finally, a calculation will be presented which shows what an introduction could generate in monetary terms. Investing in a pilot plant with 77 users would cost about SEK 50,000, this is a truth with modification - all costs are included, but only software and hardware licenses. If you count in 20 minutes, 100,000 kronor if you count 10 minutes and 120,000 kronor if you count in 12 minutes. Today, the municipality uses traditional (physical) keys and stores users' keys in both larger and smaller cabinets at the units. According to the routine, the keys should be returned to the key cabinet in the event of a change, which means that there will be a lot of running with the keys. If a security alarm is triggered, the operator has a 30-minute setting for the user. Problems can occur if the keys are not properly registered in the system, as well as during the day that staff have handed the keys to someone else in the staff and did not return the keys to the key box between the handover. It can also be that keys disappear, which must then be replaced by the municipality. The biggest time thieves are: in case of alarm, morning routine, and change of day. It happens a lot during a working day, which means that the staff needs to change keys with each other and staff solve this in the best way for the moment and not always according to the routine. In the reports investigate which system the executives use and the conclusion is that it is appropriate to use a system that fits smoothly into existing systems so that there is no additional system. It is also important for a possible introduction to thinking about how the municipality intends to organize: installation, maintenance, and management - which the municipality has either a central unit, decentralized out of the units or use external contractors, such as a locksmith. The performers are positive and feel that the need is to introduce digital locks, while the property owners do not see a direct benefit from the solution. Much depends on how the municipality for the dialogue and invites to talks at an early stadium and explains what you are planning for a solution.

Smart locks

digital locks

home help

Södertälje municipality

physical keys

welfare technology.

Smarta lås

digitala lås

hemtjänst

Södertälje kommun

fysiska nycklar

välfärdsteknik.

Engineering and Technology

Teknik och teknologier