Global ETD Search

41	Are Children Safe with Smart Watches? : Security Analysis and Ethical Hacking on Children’s Smart Watches / Är barn säkra med smarta klockor? : Säkerhetsanalys och etisk hacking på barns smarta klockor Tian, Yaqi January 2023 (has links) There are more and more parents that are considering to purchase smart watches for their kids. The children’s smart watches on the market are usually equipped with many practical functions like the GPS positioning, the camera and the messaging. Among all the smart watches for children, the ones that can be connected via a mobile application called SeTracker are popular for the acceptable prices. These smart watches may have different brands although they come from the same manufacturer company and share the common service and database. The security of the mobile application is essential to the security of the products. But are they designed in a secure way? There were reports about vulnerabilities of the products previously. Unfortunately, the security requirements do not stop upon solving those vulnerabilities. In this project, it was found that the parents can track the kids and communicate with them through the mobile application, but their accounts might be logged on the attacker’s phone at the same time. And it is surprisingly easy to get the password of the users because it is stored in a local file using simple substitution cipher. There are other examples of insecure design in the products. Among them are the unlimited attempts to send and enter verification codes used for changing the password. It seems that the server does not have a complete logging and monitoring mechanism to prevent abnormal behaviors. The security analysis and penetration testing of this project would provide an example of the mobile hacking, and it will also raise a warning on the security of smart devices. / Det finns fler och fler föräldrar som funderar på att köpa smarta klockor till sina barn. De smarta barnklockorna på marknaden är vanligtvis utrustade med många praktiska funktioner som GPS, kamera och meddelanden. Bland alla smarta klockor för barn är de som kan kopplas upp via en mobilapplikation som heter SeTracker populära för de acceptabla priserna. Dessa smarta klockor kan ha olika märken även om de kommer från samma tillverkarföretag och delar den gemensamma tjänsten och databasen. Säkerheten för den mobila applikationen är väsentlig för produkternas säkerhet. Men är de designade på ett säkert sätt? Det fanns rapporter om sårbarheter i produkterna tidigare. Tyvärr slutar inte säkerhetskraven när man löser dessa sårbarheter. I det här projektet fann man att föräldrarna kan spåra barnen och kommunicera med dem via mobilapplikationen, men deras konton kan vara inloggade på angriparens telefon samtidigt. Och det är förvånansvärt lätt att få användarnas lösenord eftersom det lagras i en lokal fil med hjälp av enkla ersättnings-chiffer. Det finns andra exempel på osäker design i produkterna. Bland dem är de obegränsade försöken att skicka och ange verifieringskoder som används för att ändra lösenordet. Det verkar som om servern inte har en fullständig loggnings- och övervakningsmekanism för att förhindra onormalt beteende. Säkerhetsanalysen och penetrationstesten av detta projekt skulle ge ett exempel på mobilhackning, och det kommer också att väcka en varning om säkerheten för smarta enheter. Security analysis Penetration testing Smart watches Mobile Applications Säkerhetsanalys Penetrationstestning Smarta klockor Mobilapplikationer Computer and Information Sciences Data- och informationsvetenskap
42	Using Semantic Data for Penetration Testing : A Study on Utilizing Knowledge Graphs for Offensive Cybersecurity / Användning av Semantisk Teknologi för Sårbarhetstestning : En Studie för att Applicera Kunskapsgrafer för Offensiv Cybersäkerhet Wei, Björn January 2022 (has links) Cybersecurity is an expanding and prominent field in the IT industry. As the amount of vulnerabilities and breaches continue to increase, there is a need to properly test these systems for internal weaknesses in order to prevent intruders proactively. Penetration testing is the act of emulating an adversary in order to test a system’s behaviour. However, due to the amount of possible vulnerabilities and attack methods that exists, the prospect of efficiently choosing a viable weakness to test or selecting a fairly adequate attack method becomes a cumbersome task for the penetration tester. The main objective of this thesis is to explore and show how the semantic data concept of Knowledge Graphs can assist a penetration tester during decision-making and vulnerability analysis. Such as providing insight to attacks a system could experience based on a set of discovered vulnerabilities, and emulate these attacks in order to test the system. Additionally, design aspects for developing a Knowledge Graph based penetration testing system are made and discussions on challenges and complications for the combined fields are also addressed. In this work, three design proposals are made based on inspiration from Knowledge Graph standards and related work. A prototype is also created, based on a penetration testing tool for web applications, OWASP ZAP. Which is then connected to a vulnerability database in order to gain access to various cybersecurity related data, such as attack descriptions on specific types of vulnerabilities. The analysis of the implemented prototype illustrates that Knowledge Graphs display potential for improving data extracted from a vulnerability scan. By connecting a Knowledge Graph to a vulnerability database, penetration testers can extract information and receive suggestions of attacks, reducing their cognitive burden. The drawbacks of this works prototype indicate that in order for a Knowledge Graph penetration testing system to work, the method of extracting information needs to be interfaced in a more user-friendly manner. Additionally, the reliance on specific standardizations create the need to develop several integration modules. Semantic data penetration testing Knowledge Graphs vulnerability analysis threat modelling web application data analysis Computer Sciences Datavetenskap (datalogi)
43	IoT Penetration Testing: Hacking an Electric Scooter Cameron Booth, Louis, Mayrany, Matay January 2019 (has links) The industry of the Internet of Things (IoT) is a burgeoning market. A wide variety of devices now come equipped with the ability to digitally communicate to a wider network and modern electric scooters are one such example of this trend towards a more connected society. With scooter ride-share companies continually expanding in urban areas worldwide these devices are posing a greater attack surface for hackers to take advantage of. In this report we utilize threat modelling to analyse the potential vulnerabilities in a popular electric scooter. Through penetration testing we demonstrate the existence of major security flaws in the device and propose ways in which manufacturers may guard against these exploits in the future. / Internet-of-Things (IoT) växer globalt. Många produkter kommer utrustade med förmågan att digitalt kommunicera med olika nätverk och moderna elektroniska sparkcyklar är ett exempel på denna trend som går mot ett mer uppkopplat och sammankopplat samhälle. I och med att antalet företag som tillhandahåller elsparkcykeltjänster i urbana miljöer över världen växer, så blir dessa produkter ett större mål för hackare att utnyttja. I denna rapport använder vi hotmodellering för att analysera potentiella sårbarheter i en populär elsparkcykelmodell. Genom att penetrationstesta produkten demonstrerar vi allvarliga säkerhetsfel och föreslår förhållningssätt som tillverkare kan ta hänsyn till för att undvika framtida attacker. Internet of Things penetration testing threat modelling ethical hacking Internet of Things penetrationstestning hotmodellering etisk hackning Computer and Information Sciences Data- och informationsvetenskap
44	Ethical Hacking of a Robot Vacuum Cleaner Torgilsman, Christoffer, Bröndum, Eric January 2020 (has links) This study revolves around the safety of IoT devices, more specifically how safe the robot vacuum cleaner Ironpie m6 is. The method is based on threat modeling the device, using the DREAD and STRIDE models. The threats with the highest estimated severity were then penetration tested to see which security measures are implemented to protect against them. Using client side manipulation one vulnerability was found in Trifo’s mobile application ”Trifo home” which could be used to harm customers property. / Den här studien kretsar kring IoT enheters säkerhet, mer specifikt hur säker robotdammsugaren Ironpie m6 är. Metoden är baserad på att hotmodellera enheten med hjälp av DREAD och STRIDE modellerna. Dem allvarligaste hoten blev penetrationstestade för att se vilka säkerhetsåtgärder som har blivit implementerade for att skydda produkten från dem. En sårbarhet upptäcktes i Trifos mobilapplikation ”Trifo Home” som kunde exploiteras via manipulation av klient sidan. Denna sårbarhet kunde användas för att skada kunders ägodelar. IoT Ethical Hacking Penetration testing Threat Model Security DREAD STRIDE Encryption MQTT Ironpie m6 Computer and Information Sciences Data- och informationsvetenskap
45	Ethical Hacking of an Access Control System / Etisk hackning av ett passersystem Almqvist, Oscar January 2022 (has links) Cybersecurity within Internet of Things (IoT) is as relevant as ever, with the increase of digitalization and the connection of increasing numbers of intelligent devices. The devices within an electronic access control system, ranging from credential readers to management applications, are responsible for protecting various assets and users while still allowing for rich functionality. Regardless of its setting and context, the purpose of such a system is to ensure security. This thesis investigates the cybersecurity of an electronic access control system in an apartment building using penetration testing. The system was evaluated in a black-box setting, meaning no inside information about the system was known. This method consisted of an information gathering and enumeration phase, building a threat model that scored the identified threats based on their impact and consequences. Four devices and two software applications were investigated within the electronic access control system. Further, thirteen threats were identified on six attack surfaces: the physical interfaces, the firmware, the network services, web interfaces, a desktop application, and an embedded application. Twelve threats were tested to see if they are exploitable in practice. Results show that ten threats were exploitable, impacting residents and administrative users of the electronic access control system. The impact of the exploits consists of various degrees of sensitive data disclosure, authentication bypass, weak authentication, denial-of-service (DOS), and tampering, spread across the devices and software within the system. Exploits were successfully executed on every attack surface apart from the firmware. Additionally, the found exploits are reported to the affected manufacturer with suggestions to prevent the found vulnerabilities. / Med tanke på den ökande graden av digitalisering och intelligenta enheter i samhället är cybersäkerhet inom sakernas internet mer relevant än någonsin. Enheterna inom ett elektronisk passersystem har som uppgift att skydda både användare och objekt, oavsett miljö eller sammanhang. Detta, samtidigt som de ska erbjuda rik funktionalitet. Den här studien undersöker cybersäkerheten av ett passersystem installerat i ett lägenhetshus med hjälp av penetrationstestning. Systemet evaluerades genom black box testing, vilket betyder att ingen intern information om vare sig systemet eller enheterna var känd. Metoden inleddes av en informationsinsamlingsfas, som sedan ledde till en konstruktion av en hotmodell bestående av potentiella sårbarheter inom systemet. Sårbarheterna funna blev sedan betygsatta baserat på deras påverkan samt konsekvens ifall de skulle lyckas genomföras. Fyra enheter och två mjukvaruapplikationer inom passersystemet undersöktes. Tretton sårbarheter identifierades på de följande sex attackytorna: fysiska gränssnitt, firmware, nätverkstjänster, webbgränssnitt, datorprogram, samt inbäddade applikationer. Tolv sårbarheter testades för att se de kunde genomföras på systemet. Resultat visar att tio sårbarheter kunde genomföras, vilket påverkade både boende och administrativa användare i passersystemet. Detta resulterade i olika grader av utlämnande av känsliga uppgifter, förbikoppling av autentisering, denial-of-service (DOS), och manipulering, spritt över de olika enheterna och applikationerna i passersystemet. Förutom via firmware så hade samtliga attackytorna någon form av sårbarhet som gick att genomföras. De funna sårbarheterna blev rapporterade till passersystemets tillverkare med förslag på hur de kan åtgärdas. Cybersecurity Access control systems IoT Penetration testing Threat modeling Cybersäkerhet Passersystem Sakernas internet Penetrationstestning Hotmodellering Computer Sciences Datavetenskap (datalogi)
46	Penetration Testing Ten Popular Swedish Android Applications Astély, Alexander, Ekroth, Johan January 2022 (has links) As more services previously conducted physically are being conducted on mobiles, the security of mobile applications has become a more important part of the development. These mobile applications may handle sensitive information for the user such as payment data, health data, and other information that can have value for malicious actors. Therefore, it is crucial that the applications are secure against a various array of cybersecurity threats. This includes following data protection standards to secure the IT infrastructure surrounding the application from intrusion. This thesis aims to provide a general overview of the security for ten popular Android applications that are aimed at the Swedish Android user base. To evaluate the security of the applications, the process of ”penetration testing” was used to try find and exploit vulnerabilities. The results of the penetration testing process yielded no proper vulnerabilities in terms of being specific for the Android application software. Noticeable findings during the testing were business logic errors, meaning that they do not enable for further hacking and software exploitation. Our analysis of the results concluded that the main causes for the lack of vulnerabilities found likely has to do with rigorous software testing before release and the security practices in place when development applications of the scale tested. / I takt med att allt fler tjänster som tidigare genomförts fysiskt nu genomförs via mobilapplikationer har säkerheten i utvecklingsprocessen fått en allt viktigare roll. Dessa mobilapplikationer kan hantera känslig information för användaren som till exempel betalningsinformation, hälsoinformation och annan information som kan vara av intresse för illvilliga aktörer. På grund av detta är det avgörande att applikationerna är säkra från en mängd olika cyberhot. Samt att följa dataskyddsstandarder för skydda IT-infrastrukturen kring applikationerna från intrång. Denna uppsats har som avsikt att ge en generell bild av säkerheten för tio populära Androidapplikationer som är riktade mot svenska användare. För att utvärdera säkerheten av en applikationerna användes en process kallad penetrationstestning, som användes för att försöka hitta och utnyttja sårbarheter. Resultatet av penetrationstesten var att inga riktiga sårbarheter kunde hittas som var specifika för Androidapplikationernas mjukvara. Noterbara fynd under penetrationstestningen var svagheter i företagslogik, vilket i detta sammanhang är svagheter som inte möjliggör för vidare intrång. Vår slutsats efter att analyserat vårt resultat är att de huvudsakliga anledningarna till frånvaron av svagheter troligtvis har med den rigorösa testningen som sker före publicering och de säkerhetsrutiner som åtföljs under utvecklingen av applikationer av denna storlek. Penetration testing Android vulnerabilities exploitation mobile security penetrationstest Android sårbarheter exploatering mobilsäkerhet Computer and Information Sciences Data- och informationsvetenskap
47	Penetration testing to improve the security position of a scale-up software company / Penetrationstestning för att förbättra säkerhetspositionen för ett företag i utveckling Amin, Yosef, Roland Pappila, Bength January 2022 (has links) Micro-mobility companies have in recent years introduced electric vehicles such as bikes, scooters and mopeds as a sustainable alternative to traditional combustion engine cars in inner cities. Having electric vehicles available in the cities comes with corporate responsibilities, such as making sure the electric vehicles follow national laws regarding speed and parking. Furthermore, a prerequisite for offering the service is that the electric vehicles should be connected at all times, and that the company has means to make certain that the service is used only by authorized users. This functionality is provided by having an IoT device mounted on the electric vehicle. One problem that arises is that it introduces new attack vectors that put both the company and its users at risk. White hat hackers working together with corporations is the right way to find vulnerabilities. This thesis evaluates the Company’s offered service through the method of threat modeling, by answering the question "Is the Company’s system secure against cyber attacks?". This has been made possible through an active collaboration with the Company, which have prioritized resolving vulnerabilities that have arisen during the project. The results show that there are security flaws present in the current system, hence making room for security improvements. Critical vulnerabilities discovered include adversaries being able to use the offered service for free, hijacking the vehicle, and the Company relying on ’front-end’ security in one payment context. / Mikromobilitetsföretag har de senaste åren introducerat elfordon som cyklar, skotrar och mopeder som ett hållbart alternativ till traditionella fossildrivna bilar i innerstäderna. Att ha elfordon tillgängliga i städerna kommer med företagsansvar, som att se till att elfordonen följer nationella lagar om hastighet och parkering. En förutsättning för att erbjuda tjänsten är vidare att elfordonen alltid ska vara uppkopplade och att företaget har möjligheter att försäkra sig om att tjänsten endast används av behöriga användare. Denna funktionalitet tillhandahålls genom att ha en IoT-enhet monterad på elfordonet. Ett problem som uppstår är att den introducerar nya attackvektorer som utsätter både företaget och dess användare för risker. White hat-hackare som arbetar tillsammans med företag är det rätta sättet att hitta sårbarheter. Denna avhandling utvärderar företagets erbjudna tjänst genom metoden för hotmodellering, genom att svara på frågan "Är företagets system säkert mot cyberattacker?". Detta har möjliggjorts genom ett aktivt samarbete med Företaget, som har prioriterat att lösa sårbarheter som uppstått under projektets gång. Resultaten visar att det finns säkerhetsbrister i det nuvarande systemet, vilket ger utrymme för säkerhetsförbättringar. Kritiska sårbarheter som upptäckts inkluderar att motståndare kan använda den erbjudna tjänsten gratis, kapa fordonet och att företaget förlitar sig på front-end-säkerhet i ett betalningssammanhang. penetration testing ethical hacking threat modeling IoT micro-mobility penetrationstestning etisk hackning hotmodellering IoT mikrorörlighet Computer and Information Sciences Data- och informationsvetenskap
48	Ethical hacking of Garmin’s sports watch Karlsson Malik, Josef January 2021 (has links) IoT devices within the technical market are rapidly growing in popularity. However, they are still young and due to the rapid growth and demand of the market, they are also known to be more vulnerable to attacks compared to other applications. The smartwatch is an IoT device that collects a large amount of personal data and monitors a consumer continuously, therefore it also comes with a great privacy risk if there are vulnerabilities in the device. The objective of this thesis was to assess the security of Garmin’s smartwatch Venu and to demonstrate whether the smartwatch is secure or not. The task of fully validating the security of an application or device is nontrivial and cannot be perfectly achieved. However, this thesis uses a systematic approach using state of the art approaches to attempt to assess security. The methodology PTES was applied which includes threat modelling. Threat modelling was used to list the possible vulnerabilities existing on the smartwatch. The tested vulnerabilities were selected based on the delimitations as well as their placing on an applied risk matrix. The vulnerabilities were then tested based on OWASP:s testing guide and ASVS. It was found that Garmin Venu was generally secure with a few minor security flaws. The Swedish law limited the possible security tests, as this thesis was done without collaboration with Garmin. However, the thesis does provide pointers of needed further investigation for vulnerabilities as well as conclusions that suggest that the smartwatch is secure. The threat model in this thesis provides identified threats that were not analysed due to time constraints. The conclusion of this thesis encourages further analysis of the operating system Garmin runs on, as it opens up more potential threats to be penetration tested. / IoT-enheter inom den tekniska marknaden växer snabbt i popularitet. De är dock fortfarande nyutkomna och på grund av den snabba tillväxten och efterfrågan på marknaden är de också kända för att vara mer utsatta för attacker jämfört med andra applikationer. Smartklockan är en IoT-enhet som samlar in en stor mängd personuppgifter och kontinuerligt övervakar en konsument. Följaktligen tillkommer en stor integritetsrisk om det finns sårbarheter i enheten. Syftet med detta examensarbete var att bedöma säkerheten för Garmins smartklocka Venu och undersöka om smartklockan är säker eller inte. Uppgiften att helt validera säkerheten för en applikation eller enhet är inte enkel och kan inte fullbordas. Emellertid använder detta arbete ett systematiskt tillvägagångssätt som använder avancerade metoder för att försöka bedöma säkerheten. Metoden PTES tillämpades vilken inkluderar hotmodellering. Hotmodellering användes för att lista upp de möjliga sårbarheter som finns på smartklockan. De testade sårbarheterna valdes utifrån begränsningarna för examensarbetet och deras placering i en tillämpad riskmatris. Sårbarheterna testades sedan baserat på OWASPs testguide och ASVS. Sammanfattningsvis konstaterades att Garmin Venu i allmänhet var säker med några mindre säkerhetsfel. Svensk lag begränsade de möjliga säkerhetstesterna, eftersom detta examensarbete gjordes utan samarbete med Garmin. Arbetet ger tips om ytterligare väsentliga granskningar för sårbarheter samt bidrar med slutsatser som tyder på att smartklockan är säker. Hotmodellen i detta arbete innehåller identifierade hot som inte analyserades på grund av tidsbegränsning. Avslutningen i detta examensarbete uppmuntrar bland annat till ytterligare analys av det operativsystem Garmin körs på, eftersom det öppnar upp möjligheten till ytterligare penetrationstest av potentiella hot. IoT smartwatch security ethical hacking penetration testing IoT smartklocka säkerhet etiskt hackande penetrationstest Computer Sciences Datavetenskap (datalogi)
49	Denial-of-service attacks against the Parrot ANAFI drone / DoS- attacker mot drönaren Parrot ANAFI. Feng, Jesse, Tornert, Joakim January 2021 (has links) As the IoT market continues to grow, so does the need for secure wireless communication. Drones have become a popular gadget among both individuals and various industries during the last decade, and the popularity continues to grow. Some drones use Wi-Fi technology for communication, such as the Parrot ANAFI, which introduces many of the same security threats that are frequently found in general IoT. Therefore, this report covers a common group of cyberattacks, known as denial-of-service attacks, their effects on the Parrot ANAFI, and their ease of use. A threat model was created to have an overview of the system architecture, and all of the identified threats were assessed using DREAD. All of the software tools used in this report can be found for free on the Internet using search engines and simple key words. The results showed that the drone is generally secure, but it is vulnerable to a certain denial-of-service attack, which can open the door to multiple attack surfaces if the password for the drone’s Wi-Fi is not strong enough. Some suggestions for mitigating these threats are presented at the end of the report. / I takt med att IoT-marknaden fortsätter att växa ökar också behovet av säker trådlös kommunikation. Drönare har blivit en populär pryl bland såväl privatpersoner som diverse industrier under det senaste decenniet, och populariteten fortsätter att växa. Vissa drönare använder Wi-Fi-teknik för kommunikation, till exempel Parrot ANAFI, vilket introducerar många av de säkerhetshot som ofta existerar bland IoT i allmänhet. Den här rapporten täcker därför en välkänd grupp av cyberattacker, som kallas denial-of-service-attacker, deras effekter på Parrot ANAFI och deras användarvänlighet. En hotmodell skapades för att ha en överblick över systemarkitekturen och alla identifierade hot rangordnades med hjälp av DREAD. Alla programvaruverktyg som används i denna rapport kan hittas gratis på Internet med hjälp av enkla sökningar på nyckelord. Resultaten påvisar att drönaren i allmänhet är säker, men att den är sårbar för en viss typ av denial-of-service-attack, vilket kan öppna dörren till flera attackytor om lösenordet för drönarens Wi-Fi inte är tillräckligt starkt. Några förslag för att mildra dessa hot presenteras i slutet av rapporten. Penetration testing cyber security drone denial-of-service attacks Wi-Fi IEEE 802.11. Computer and Information Sciences Data- och informationsvetenskap
50	Are modern smart cameras vulnerable to yesterday’s vulnerabilities? : A security evaluation of a smart home camera / Undviker dagens smarta kameror gårdagens sårbaraheter? : Utvärdering av säkerheten hos en smart hem kamera Larsson, Jesper January 2021 (has links) IoT cameras can allow users to monitor their space remotely, but consumers are worried about the security implications. Their worries are neither unfounded as vulnerabilities repeatedly have been found in internet connected cameras. Have modern cameras learned from the mistakes of their predecessors? This thesis has performed a case study of a consumer smart camera popular on the Swedish market. The camera was evaluated through a pentest. The evaluation found that the camera’s cloud centric design allowed it to side step issues present in earlier models. However, it was demonstrated that it is possible to detect potentially sensitive events, e.g. when the camera notice motion, by just inspecting the amount of traffic it sends. Other tests were not able to demonstrate vulnerabilities though. Based on these findings it was concluded that the camera were more secure than it’s predecessors, which supports that the market has improved. / Konsumenter kan med IoT kameror på distans överse sin egendom. De är dock oroliga över hur säkra kamerorna är. Denna oro existerar inte utan god anledning. Sårbarheter har upprepade gånger påvisat finnas i internetuppkopplade kameror. Har dagens kameror lärt sig av deras föregångares misstag? Detta examensarbete har testat en smart kamera som är populär på den svenska marknaden. För att fastställa hur säker kameran är genomfördes ett penetrationstest. Undersökning fann att kameran lyckats kringgå tidigare vanliga sårbarheter genom att förlita sig på molnet. Undersökning kunde dock konstatera att en motståndare kan läcka potentiellt känslig information, t.ex. när kameran upptäcker rörelse, bara genom att mäta hur mycket nätverkstrafik kameran sänder. Undersökningen kunde dock inte påvisa andra sårbarheter. Baserat på dessa resultat fann studien att denna kamera är säkrare än sina föregångare, och att detta stödjer tesen att marknaden som helhet förbättrats. Security Penetration testing Threat modelling Internet of things Smart cameras Säkerhet penetrationstestning hotmodellering Sakernas internet Smarta kameror Computer Sciences Datavetenskap (datalogi)

Search results