Smart home privacy leaks

Abstract

Obwohl sich Smart-Home Technologien immer größerer Beliebtheit erfreuen dürfen und in immer mehr Haushalten zu finden sind, zeigen Forschungen, dass sich User:innen üblicherweise der Auswirkungen, die die gesammelten Daten solcher Geräte haben können, nicht bewusst sind. Weiters wissen User:innen oft nicht welche Daten von Smart-Home Geräten aufgezeichnet werden und an welche Unternehmen diese dann übertragen werden. Da diese übertragenen Daten von Smart-Home Geräten üblicherweise verschlüsselt sind, ist es ohne weitere Maßnahmen, wie Man-in-the-Middle-Angriffen nicht möglich den Inhalt der gesendeten Pakete zu lesen. Auch wenn die Daten unverschlüsselt gesendet werden, ist es auch keine einfache Aufgabe automatisiert zu ermitteln welche Daten gesendet werden. Dies liegt an der schieren Menge der unterschiedlichen Smart-Home Geräte unterschiedlichster Hersteller, die keinen einheitlichen Standard für die Nachrichten der Smart-Home Geräte verwenden.Um das Bewusstsein der Endnenutzer:innen diesbezüglich zu stärken entwickeln wir eine Erweiterung für das Pi-hole, ein netzwerkweiter Werbefilter, der üblicherweise auf einem Raspberry Pi installiert wird. Diese Software zeigt den User:innen an welche Informationen über sie oder ihr Verhalten durch die gesammelten Daten der Smart-Home Geräte abgeleitet werden könnten. Außerdem schafft es mehr Transparenz bezüglich dem Verhalten der Geräte indem die Software den auftretenden Netzwerkverkehr dieser Geräte anzeigt und analysiert zu welchen Firmen Informationen gesendet werden.Da es wie vorhin erwähnt nicht einfach möglich ist, aus den gesendeten Daten abzuleiten welche Informationen von diesen Geräten gesendet werden, entwickeln wir ein Modell, das es erlaubt, basierend auf den Funktionen bzw. der eingebauten Sensorik eines Gerätes abzuschätzen, welche Daten dieses sendet und wie diese Informationen die Privatsphäre beeinflussen. Zusätzlich ist es damit möglich zu berechnen welchen Einfluss ein potenzieller Datenaustausch zwischen mehreren Firmen hat.Die automatische Klassifizierung der Smart-Home Geräte übernimmt ein Machine-Learning Modell. Dafür sind von uns Methoden zu Datenaufbereitung passend für die Daten die auf dem Pi-hole gesammelt werden können, entwickelt worden und mit diesen aufbereiteten Daten sind drei verschiedene, zu diesem Zwecke üblicherweise eingesetzten Machine-Learning Modelle überwacht, trainiert und verglichen worden.

Despite the ever-growing impact of smart home internet of things devices research has shown that users are usually not aware of privacy leaks, which occur in such an environment. Furthermore, users are typically not informed, which data types are collected from such devices and with which companies this data is shared. Since the majority of traffic originating from smart home devices is encrypted, it is not viable without, e.g. Man-in-the-middle attack to read the content of the transmissions. Even if the traffic is unencrypted, it is not a trivial task to automatically gain information which data is sent, since there are many vastly different devices from several different vendors, using multiple diverse standards to format their messages.In order to improve privacy awareness, we developed a novel privacy empowering tool. It is based on the network-wide ad blocker Pi-hole and is typically deployed on a raspberry pi. This probe is able to infer potential privacy leaks i.e., which information could be derived about the residents or about their behaviour, from smart home devices in a home network. Furthermore, it provides transparency by displaying and analysing the occurring network traffic. Moreover, the companies involved in the data exchange with the smart home devices are shown.To overcome the previously mentioned problem of gaining information data transmitted by smart home devices, a privacy leak model is developed. This model derives information, which is sent by such devices and further potential privacy leaks based on their functional device types. Additionally, this model allows to provide methods to calculate the impact of sharing data between companies.The classification of smart home devices in the home network, is achieved by a machine learning model developed by us. For this reason, we created a feature extraction method suitable for the data provided by the Pi-hole and compared three machine learning methods, which are commonly used for this specific task.