“Things” Fall Apart : Adventures in Securing a World of Connected Chaos

Abstract

Diese Dissertation befasst sich mit den weitreichenden Sicherheitsherausforderungen im Ökosystem des Internet der Dinge (IoT) durch eine interdisziplinäre Methodik, die Systemanalysen, groß angelegte Internetmessungen und nutzerzentrierte Studien verbindet. Zunächst stellen wir IoTFlow vor, eine statische Analysetechnik, die fast 10,000 Android-Begleit-Apps für IoT-Geräte untersucht, um Kommunikationsendpunkte zu rekonstruieren und unsichere Praktiken wie festkodierte Zugangsdaten und offen zugängliche Testschnittstellen aufzudecken. Anschließend führen wir, aufbauend auf den Erkenntnissen von IoTFlow, eine großflächige Untersuchung von IoT-Backends über die Protokolle MQTT, CoAP und XMPP durch und decken dabei weit verbreitete Schwachstellen wie Datenlecks, schwache Authentifizierungsverfahren und Denial-of-Service-Risiken auf. Daraufhin initiieren wir gemeinsam mit dem Dutch National Cyber Security Centre ein koordiniertes Verfahren zur Schwachstellenoffenlegung, informieren Tausende Betreiber und verfolgen die Behebung der Probleme. Diese Bemühungen decken kritische Lücken in der aktuellen IoT-Sicherheitsaufsicht auf. Über die technische Infrastruktur hinaus untersuchen wir Datenschutzrisiken des Hybrid Broadcast Broadband TV (HbbTV) in fünf europäischen Ländern und zeigen dabei weit verbreitetes Tracking sowie Nichteinhaltung von Datenschutzrichtlinien bei Smart-TV-Sendern. Abschließend schlagen wir eine Brücke zwischen technischen und menschlichen Perspektiven durch eine zweistufige Nutzerstudie zur Risikowahrnehmung und zu Sicherheitsverhalten im IoT: einer expertengestützten Kategorisierung von IoT-Geräten folgt eine groß angelegte Umfrage mit 213 Teilnehmenden, die erhebliche Diskrepanzen zwischen wahrgenommenem Risiko und tatsächlichen Sicherheitspraktiken in einzelnen Gerätekategorien offenlegt. Unsere Ergebnisse unterstreichen den dringenden Bedarf an Sicherheitslösungen. Durch die Kombination von Systemsicherheit, Internetmessung und nutzerorientierten Ansätzen erweitert diese Arbeit nicht nur das technische Verständnis von IoT-Schwachstellen, sondern liefert auch Empfehlungen für regulatorische Maßnahmen.

This thesis addresses the pervasive security challenges in the Internet of Things (IoT) ecosystem through an interdisciplinary methodology that combines system-level analysis, large-scale Internet measurement, and user-centered studies. First, we present IoTFlow, a static analysis technique that examines nearly 10,000 Android IoT companion apps to reconstruct device communication endpoints and reveal insecure practices such as hardcoded credentials and exposed test interfaces. Next, building on IoTFlow’s findings, we conduct a large-scale assessment of IoT backends across various communication protocols (MQTT, CoAP, and XMPP), uncovering widespread vulnerabilities that include data leaks, weak authentication schemes, and denial-of-service threats. In response, we initiate a coordinated vulnerability disclosure procedure with the Dutch National Cyber Security Centre, notifying thousands of operators and tracking remediation outcomes. This effort exposes critical gaps in current IoT security oversight. Beyond technical infrastructure, we examine privacy risks in Hybrid Broadcast Broadband TV (HbbTV) across five European countries, revealing pervasive tracking and policy non-compliance in smart TV channels. Finally, we bridge the technical and human perspectives through a two-part user study on IoT risk perceptions and security behaviors. We perform an expert-driven categorization of IoT devices, followed by a large-scale user survey of 213 participants, which exposes significant mismatches between perceived risk and actual security practices across device categories. Our findings underscore the pressing need for effective security solutions. By combining systems security, Internet measurement, and user-centered approaches, our work not only extends technical understanding of IoT vulnerabilities but also suggests regulatory policy.