UNITesi

The Internet of Things (IoT) is a technology paradigm that connects everyday objects to the internet, enabling data exchange and automation across various sectors, including smart homes, healthcare, and industrial automation. Since its origins in the late 1990s, IoT adoption has surged, with billions of devices now in use. However, the rapid deployment of IoT devices has introduced serious security challenges, as many devices lack robust security measures, making them vulnerable to cyber-attacks. This thesis addresses these security issues through two primary focuses: device-level and protocol- level security. In the first part of the thesis, we aim to identify and analyze security vulnerabilities in commercially available IoT devices. To do so, we used a black-box testing methodology which is highly scalable since it requires no prior knowledge of the device’s internal functioning. The primary contribution here is the development of a tool called REPLIoT, specifically designed to assess replay attack vulnerabilities in IoT devices using a black-box testing approach. Additionally, this active investigation of consumer IoT devices led to the discovery of a security vulnerability, CVE-2023- 34829, classified as MEDIUM by NIST. This vulnerability a$ects a large number of TP-Link devices, allowing an attacker to access the victim’s password of their TP-Link account in the clear. The second part of the thesis investigates a widely used IoT communication protocol, i.e., the MQTT protocol. Specifically, we identified the main security and privacy issues in this protocol, due to its inner architecture. Then, we proposed practical solutions to integrate MQTT with security and privacy features, by taking into account the challenges related to its architecture. The primary contribution here is a novel solution to achieve end-to-end integrity for the message flow in MQTT without requiring any trusted third-party involvement. Unlike existing solutions in the literature, which all rely on the presence oftrusted third-party entities to achieve end-to-end security, the proposed approach does not require any change in the MQTT’s base architecture, making it a practical advancement of the MQTT protocol

L'Internet delle Cose (IoT) è un paradigma tecnologico che collega gli oggetti di uso quotidiano a Internet, consentendo lo scambio di dati e l'automazione in diversi settori, tra cui le case intelligenti, l'assistenza sanitaria e l'automazione industriale. Dalla sua origine alla fine degli anni '90, l'adozione dell'IoT è cresciuta rapidamente, con miliardi di dispositivi ora in uso. Tuttavia, la rapida di$usione dei dispositivi IoT ha introdotto serie sfide di sicurezza, poiché molti di essi mancano di misure di sicurezza robuste, rendendoli vulnerabili agli attacchi informatici. Questa tesi a$ronta questi problemi di sicurezza su due fronti principali: la sicurezza a livello di dispositivo e a livello di protocollo. Nella prima parte della tesi, ci proponiamo di identificare e analizzare le vulnerabilità di sicurezza nei dispositivi IoT disponibili in commercio. Per farlo, abbiamo utilizzato una metodologia di test "black-box" che è altamente scalabile poiché non richiede una conoscenza preliminare del funzionamento interno del dispositivo. Il principale contributo in questo ambito è lo sviluppo di uno strumento chiamato REPLIoT, progettato specificamente per valutare le vulnerabilità agli attacchi di replay nei dispositivi IoT utilizzando un approccio di test "black-box". Inoltre, questa indagine attiva sui dispositivi IoT consumer ha portato alla scoperta di una vulnerabilità di sicurezza, CVE-2023-34829, classificata come MEDIO da NIST. Questa vulnerabilità interessa un gran numero di dispositivi TP-Link, permettendo a un attaccante di accedere alla password dell'account TP-Link della vittima in chiaro. La seconda parte della tesi esamina un protocollo di comunicazione IoT ampiamente utilizzato, ovvero il protocollo MQTT. In particolare, abbiamo identificato le principali problematiche di sicurezza e privacy in questo protocollo, dovute alla sua architettura intrinseca. Successivamente, abbiamo proposto soluzioni pratiche per integrare nel protocollo MQTT funzionalità di sicurezza e privacy, tenendo conto delle sfide legate alla sua architettura. Il principale contributo in questo ambito è una soluzione innovativa per garantire l'integrità end-to-end del flusso di messaggi in MQTT senza richiedere il coinvolgimento di terze parti fidate. A di$erenza delle soluzioni esistenti in letteratura, che si basano tutte sulla presenza di entità terze fidate per raggiungere la sicurezza end-to-end, l'approccio proposto non richiede alcuna modifica all'architettura di base del protocollo MQTT, rendendolo un avanzamento pratico nel protocollo stesso

SECURITY ISSUES AND SOLUTIONS IN THE INTERNET OF THINGS LANDSCAPE

LAZZARO, SARA
2025

Abstract

The Internet of Things (IoT) is a technology paradigm that connects everyday objects to the internet, enabling data exchange and automation across various sectors, including smart homes, healthcare, and industrial automation. Since its origins in the late 1990s, IoT adoption has surged, with billions of devices now in use. However, the rapid deployment of IoT devices has introduced serious security challenges, as many devices lack robust security measures, making them vulnerable to cyber-attacks. This thesis addresses these security issues through two primary focuses: device-level and protocol- level security. In the first part of the thesis, we aim to identify and analyze security vulnerabilities in commercially available IoT devices. To do so, we used a black-box testing methodology which is highly scalable since it requires no prior knowledge of the device’s internal functioning. The primary contribution here is the development of a tool called REPLIoT, specifically designed to assess replay attack vulnerabilities in IoT devices using a black-box testing approach. Additionally, this active investigation of consumer IoT devices led to the discovery of a security vulnerability, CVE-2023- 34829, classified as MEDIUM by NIST. This vulnerability a$ects a large number of TP-Link devices, allowing an attacker to access the victim’s password of their TP-Link account in the clear. The second part of the thesis investigates a widely used IoT communication protocol, i.e., the MQTT protocol. Specifically, we identified the main security and privacy issues in this protocol, due to its inner architecture. Then, we proposed practical solutions to integrate MQTT with security and privacy features, by taking into account the challenges related to its architecture. The primary contribution here is a novel solution to achieve end-to-end integrity for the message flow in MQTT without requiring any trusted third-party involvement. Unlike existing solutions in the literature, which all rely on the presence oftrusted third-party entities to achieve end-to-end security, the proposed approach does not require any change in the MQTT’s base architecture, making it a practical advancement of the MQTT protocol
1-apr-2025
Inglese
L'Internet delle Cose (IoT) è un paradigma tecnologico che collega gli oggetti di uso quotidiano a Internet, consentendo lo scambio di dati e l'automazione in diversi settori, tra cui le case intelligenti, l'assistenza sanitaria e l'automazione industriale. Dalla sua origine alla fine degli anni '90, l'adozione dell'IoT è cresciuta rapidamente, con miliardi di dispositivi ora in uso. Tuttavia, la rapida di$usione dei dispositivi IoT ha introdotto serie sfide di sicurezza, poiché molti di essi mancano di misure di sicurezza robuste, rendendoli vulnerabili agli attacchi informatici. Questa tesi a$ronta questi problemi di sicurezza su due fronti principali: la sicurezza a livello di dispositivo e a livello di protocollo. Nella prima parte della tesi, ci proponiamo di identificare e analizzare le vulnerabilità di sicurezza nei dispositivi IoT disponibili in commercio. Per farlo, abbiamo utilizzato una metodologia di test "black-box" che è altamente scalabile poiché non richiede una conoscenza preliminare del funzionamento interno del dispositivo. Il principale contributo in questo ambito è lo sviluppo di uno strumento chiamato REPLIoT, progettato specificamente per valutare le vulnerabilità agli attacchi di replay nei dispositivi IoT utilizzando un approccio di test "black-box". Inoltre, questa indagine attiva sui dispositivi IoT consumer ha portato alla scoperta di una vulnerabilità di sicurezza, CVE-2023-34829, classificata come MEDIO da NIST. Questa vulnerabilità interessa un gran numero di dispositivi TP-Link, permettendo a un attaccante di accedere alla password dell'account TP-Link della vittima in chiaro. La seconda parte della tesi esamina un protocollo di comunicazione IoT ampiamente utilizzato, ovvero il protocollo MQTT. In particolare, abbiamo identificato le principali problematiche di sicurezza e privacy in questo protocollo, dovute alla sua architettura intrinseca. Successivamente, abbiamo proposto soluzioni pratiche per integrare nel protocollo MQTT funzionalità di sicurezza e privacy, tenendo conto delle sfide legate alla sua architettura. Il principale contributo in questo ambito è una soluzione innovativa per garantire l'integrità end-to-end del flusso di messaggi in MQTT senza richiedere il coinvolgimento di terze parti fidate. A di$erenza delle soluzioni esistenti in letteratura, che si basano tutte sulla presenza di entità terze fidate per raggiungere la sicurezza end-to-end, l'approccio proposto non richiede alcuna modifica all'architettura di base del protocollo MQTT, rendendolo un avanzamento pratico nel protocollo stesso
BUCCAFURRI, Francesco
MOLINARO, Antonella
Università degli Studi Mediterranea di Reggio Calabria
Reggio Calabria
File in questo prodotto:
File Dimensione Formato  
PhD Thesis_Lazzaro Sara_XXXVII ciclo.pdf

accesso aperto

Dimensione 46.74 MB
Formato Adobe PDF
Visualizza/Apri
46.74 MB Adobe PDF Visualizza/Apri

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14242/210227
Il codice NBN di questa tesi è URN:NBN:IT:UNIRC-210227