IoT guard: usable transparency and control over smart home IoT devices

Abstract

Die Zahl der Smart-Home Internet of Things (IoT)-Geräte wächst kontinuierlich, wodurch zwar neue Automatisierungen und Bequemlichkeiten ermöglicht werden, die Geräte aber zugleich in der Lage sind, immer mehr Daten aus noch mehr Bereichen unseres Lebens zu sammeln. Frühere Arbeiten haben zusätzlich gezeigt, dass Benutzer wenig bis gar kein Bewusstsein für das Kommunikationsverhalten ihrer Geräte haben, wodurch sie ihre Datenschutzentscheidungen oft auf unvollständige mentale Modelle stützen. Dies erhöht das Risiko für eine Datenschutzverletzung, sollten sich diese nicht wie erwartet verhalten. Bestehende Forschung hat deshalb bereits Transparenz und Kontrolle als zwei Grundvoraussetzungen für effektive Smart-Home-Datenschutzmechanismen identifiziert. Bis jetzt wurde jedoch nur unzureichend untersucht, wie diese in einer benutzerfreundlichen Art und Weise bereitgestellt werden können. Diese Arbeit aus den Forschungsgebieten der Usable Security und Netzwerk-Forensik verwendet deshalb eine Designstudienmethodik, um Benutzer direkt in den Designprozess einzubinden, und untersucht, wie der ausgehende Netzwerkverkehr eines Haushalts in einer brauchbaren Weise visualisiert werden kann, sodass selbst Nichtexperten selbständig potenziell unerwünschtes Verhalten identifizieren und Datenschutzentscheidungen treffen können. Um diese Frage zu beantworten, wurden 12 ausführliche semi-strukturierte Interviews mit ergänzenden Participatory Design (PD)-Aufgaben durchgeführt, in denen die Teilnehmer zusätzlich Low-Fidelity Skizzen ihrer gewünschten Datenabstraktion und Interaktion erstellten. Aus diesen qualitativen Ergebnissen wurden mehrere Design-Richtlinien abgeleitet, darunter die Verwendung von kontaktierten Unternehmen als primäre Datenabstraktion für das Kommunikationsverhalten der Geräte, die es den Benutzern erlaubt, ihre vorhandenen mentalen Modelle wiederzuverwenden. Zur Überraschung des Autors wollten alle Teilnehmer selbst auf Grundlage ihrer persönlichen Präferenz und zusätzlicher Informationen über Unternehmen entscheiden, was blockiert werden soll. Weitere Richtlinien umfassen zum Beispiel eine einfache Übersicht und eine zeitbasierte Visualisierung. Um deren Wirksamkeit zu validieren, wurde ein Werkzeug implementiert, das die gewünschten Informationen automatisch aus dem Netzwerkverkehr der Geräte extrahieren kann. Dessen Visualisierung wurde dabei iterativ durch sechs Usability-Tests verfeinert und schließlich durch reale Einsätze validiert. Die Ergebnisse bieten erste Indizien, dass die angewandten Design-Richtlinien effektiv den gewünschten Einblick und Kontrolle bieten können. Abschließend werden mehrere vielversprechende Richtungen für zukünftige Forschungen und Anwendungen vorgestellt.

There is a growing number of smart home Internet of Things (IoT) devices that enable new automations and conveniences, but at the same time are able to collect more and more data on even more aspects of our lives. Moreover, previous work has shown that consumers have little to no awareness of their devices’ communication behaviour, so they often base their privacy trade-offs on incomplete mental models. This increases their risk for privacy violations if their devices don’t behave like expected. Related work has therefore already identified transparency and control as two primary requirements for effective smart home privacy mechanisms. However, little research has been done on how to actually provide them in a usable way, with existing tools using unsuitable abstractions that require too much effort. This thesis from the research fields of usable security and network forensic thus uses a design study methodology to directly involve users in the design process, and investigates how a household’s outgoing network traffic can be visualised in a usable way, so that non-expert users can independently identify potentially unwanted behaviour and make privacy-related decisions on their own. To answer this question, 12 semi-structured in-depth interviews with Participatory Design (PD) exercises were conducted, in which participants created low-fidelity sketches of their desired data abstraction and interaction. From these qualitative results several design guidelines were derived, including the use of contacted organisations as a primary data abstraction for devices’ communication behaviour, which allows users to reuse their existing mental models. To the author’s surprise, all participants wanted to decide for themselves what should be blocked, based on their personal preferences and additional information about organisations such as their business model. Potentially unwanted organisations should be explicitly highlighted. Further guidelines include, for example, a quick and simple overview, and a time-based visualisation in order to detect and highlight changes in behaviour. To validate their effectiveness, a tool has been implemented that can automatically extract the desired information from devices’ network traffic with the help of several external organisation sources. Its visualisation was iteratively refined through six usability tests and finally validated through real-world deployments with target users. The results offer suggestive evidence that the applied design guidelines can effectively provide the desired insight and control, with the created visualisation improving the current state of the art, while requiring zero configuration overhead. Finally, several promising directions for future research and applications are presented.