IoT devices within the technical market are rapidly growing in popularity. However, they are still young and due to the rapid growth and demand of the market, they are also known to be more vulnerable to attacks compared to other applications. The smartwatch is an IoT device that collects a large amount of personal data and monitors a consumer continuously, therefore it also comes with a great privacy risk if there are vulnerabilities in the device. The objective of this thesis was to assess the security of Garmin’s smartwatch Venu and to demonstrate whether the smartwatch is secure or not. The task of fully validating the security of an application or device is nontrivial and cannot be perfectly achieved. However, this thesis uses a systematic approach using state of the art approaches to attempt to assess security. The methodology PTES was applied which includes threat modelling. Threat modelling was used to list the possible vulnerabilities existing on the smartwatch. The tested vulnerabilities were selected based on the delimitations as well as their placing on an applied risk matrix. The vulnerabilities were then tested based on OWASP:s testing guide and ASVS. It was found that Garmin Venu was generally secure with a few minor security flaws. The Swedish law limited the possible security tests, as this thesis was done without collaboration with Garmin. However, the thesis does provide pointers of needed further investigation for vulnerabilities as well as conclusions that suggest that the smartwatch is secure. The threat model in this thesis provides identified threats that were not analysed due to time constraints. The conclusion of this thesis encourages further analysis of the operating system Garmin runs on, as it opens up more potential threats to be penetration tested. / IoT-enheter inom den tekniska marknaden växer snabbt i popularitet. De är dock fortfarande nyutkomna och på grund av den snabba tillväxten och efterfrågan på marknaden är de också kända för att vara mer utsatta för attacker jämfört med andra applikationer. Smartklockan är en IoT-enhet som samlar in en stor mängd personuppgifter och kontinuerligt övervakar en konsument. Följaktligen tillkommer en stor integritetsrisk om det finns sårbarheter i enheten. Syftet med detta examensarbete var att bedöma säkerheten för Garmins smartklocka Venu och undersöka om smartklockan är säker eller inte. Uppgiften att helt validera säkerheten för en applikation eller enhet är inte enkel och kan inte fullbordas. Emellertid använder detta arbete ett systematiskt tillvägagångssätt som använder avancerade metoder för att försöka bedöma säkerheten. Metoden PTES tillämpades vilken inkluderar hotmodellering. Hotmodellering användes för att lista upp de möjliga sårbarheter som finns på smartklockan. De testade sårbarheterna valdes utifrån begränsningarna för examensarbetet och deras placering i en tillämpad riskmatris. Sårbarheterna testades sedan baserat på OWASPs testguide och ASVS. Sammanfattningsvis konstaterades att Garmin Venu i allmänhet var säker med några mindre säkerhetsfel. Svensk lag begränsade de möjliga säkerhetstesterna, eftersom detta examensarbete gjordes utan samarbete med Garmin. Arbetet ger tips om ytterligare väsentliga granskningar för sårbarheter samt bidrar med slutsatser som tyder på att smartklockan är säker. Hotmodellen i detta arbete innehåller identifierade hot som inte analyserades på grund av tidsbegränsning. Avslutningen i detta examensarbete uppmuntrar bland annat till ytterligare analys av det operativsystem Garmin körs på, eftersom det öppnar upp möjligheten till ytterligare penetrationstest av potentiella hot.
| Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-305011 |
| Date | January 2021 |
| Creators | Karlsson Malik, Josef |
| Publisher | KTH, Skolan för elektroteknik och datavetenskap (EECS) |
| Source Sets | DiVA Archive at Upsalla University |
| Language | English |
| Detected Language | Swedish |
| Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess |
| Relation | TRITA-EECS-EX ; 2021:693 |
Page generated in 0.0021 seconds