Ethical Hacking of a Smart Video Doorbell / Etisk hackning av en smart video dörrklocka

Liu, Xin

January 2021

With the rapid development of IoT, more and more cyber security threats occur in people’s lives. In addition, many IoT devices are closely related to lives and have a large number of users, such as smart home. Therefore, it is more worthy for the adversaries to launch attacks. This report provides a security analysis of a specific IoT device —- Xiaomi smart video doorbell, which is a popular choice of the smart home. The smart video doorbell, which is usually set outside the front door, is invented to guarantee and enhance the safety of users’ homes. It has the functionalities of smart motion detection, real-time video and it will send notifications to the user’s mobile application if somebody presses the ring button or stays in front of it. This thesis performs a security analysis of this smart video doorbell system via threat modeling and penetration testing. The results show that the target system is not secure enough and have vulnerabilities which can be exploited, such as data exposure, weak password encryption, lack of logging and so on. Improvements can be made although there is no critical or urgent vulnerability of the target system. / Med den snabba utvecklingen av IoT uppstår fler och fler hot mot cybersäkerhet i människors liv. Dessutom är många IoT -enheter nära besläktade med liv och har ett stort antal användare, till exempel smarta hem. Därför är det mer värt för motståndarna att starta attacker. Denna rapport ger en säkerhetsanalys av en specifik IoT-enhet —- Xiaomi smart video dörrklocka, som är ett populärt val av det smarta hemmet. Den smarta videodörrklockan, som vanligtvis ställs utanför ytterdörren, uppfanns för att garantera och öka säkerheten för användarnas hem. Den har funktioner för smart rörelsedetektering, video i realtid och den skickar meddelanden till användarens mobilapp om någon trycker på ringknappen eller stannar framför den. Denna avhandling utför en säkerhetsanalys av detta smarta videodörrklocksystem via hotmodellering och penetrationstest. Resultaten visar att målsystemet inte är tillräckligt säkert och har sårbarheter som kan utnyttjas, såsom dataexponering, svag lösenordskryptering, brist på loggning och så vidare. Förbättringar kan göras även om det inte finns någon kritisk eller brådskande sårbarhet för målsystemet.

smart video doorbell

IoT

security

penetration testing

threat modeling

smart video dörrklocka

IoT

säkerhet

penetrationstestning

hotmodellering

Computer and Information Sciences

Data- och informationsvetenskap