Information Leakage Attacks and Defenses in the IoT Domain

The Internet of Things (IoT) market is experiencing rapid growth as the market is projected to double between 2020 and 2025. The surge in the adoption of IoT technologies into devices of daily life, from smartphones to satellite communication, highlights significant concerns about their security. Even with heightened security measures, vulnerabilities persist due to oversight of potential attack surfaces and scenarios, leaving entire systems vulnerable to the risk of information leakage. Therefore, numerous challenges within this field must still be addressed. For that reason, it is crucial for manufacturers and users to understand emerging attack surfaces resulting from the IoT field. IoT devices can leak information through adversarial exploitation of novel human-computer interfaces, such as voice or touch, which are often incorporated into smart speakers and smartphones. The analysis of such attack vectors plays a pivotal role in uncovering vulnerabilities across the field of IoT devices, thereby paving the way for mitigations to increase security levels to prevent information leakage. This goal can be achieved by strengthening User Interfaces (UIs) or protecting private user data by making it inaccessible to the adversary.

In this dissertation, we design, implement and evaluate novel approaches to exploit the attack surfaces of different IoT devices and to offer mitigations of exploits for upcoming technologies in the area of IoT devices. Specifically, we propose 1) novel attacks on smart speaker virtual assistant’s interaction model using ultrasonic audio, 2) improvements for virtual assistant’s wake-word detectors and means to detect malicious wake-word activated devices, 3) a novel attack on smart devices’ capacitive touch screens using airborne electro-magnetic-interference and 4) protection against location leakage of satellite internet users using IoT long-range radio network technology.

Der IoT-Markt erlebt ein rasantes Wachstum, da sich der Markt zwischen 2020 und 2025 voraussichtlich verdoppeln wird. Die zunehmende Verbreitung von IoT-Technologien in Geräten des täglichen Lebens, von Smartphones bis zur Satellitenkommunikation, führt zu erheblichen Bedenken hinsichtlich ihrer Sicherheit. Trotz erhöhter Sicherheitsmaßnahmen bleiben Schwachstellen bestehen, da potenzielle Angriffsflächen und -szenarien übersehen werden, wodurch ganze Systeme dem Risiko eines Datenlecks ausgesetzt sind. Daher müssen in diesem Bereich noch zahlreiche Herausforderungen bewältigt werden. Aus diesem Grund ist es für Hersteller und Nutzer von entscheidender Bedeutung, neu entstehende Angriffsflächen zu verstehen, die sich aus dem IoT-Bereich ergeben. IoT-Geräte können durch die Ausnutzung neuartiger Mensch-Computer-Schnittstellen, wie z. B. Sprach- oder Berührungseingaben, die häufig in intelligenten Lautsprechern und Smartphones integriert sind, persönliche Informationen preisgeben. Die Analyse solcher Angriffsvektoren spielt eine zentrale Rolle bei der Aufdeckung von Schwachstellen im gesamten Bereich der IoT-Geräte und ebnet damit den Weg für Maßnahmen zur Erhöhung des Sicherheitsniveaus, um Informationslecks zu verhindern. Dieses Ziel kann erreicht werden, indem UIs gestärkt oder private Benutzerdaten geschützt werden, indem sie für den Angreifer unzugänglich gemacht werden.

In dieser Dissertation entwerfen, implementieren und evaluieren wir neuartige Ansätze zur Ausnutzung der Angriffsflächen verschiedener IoT-Geräte und bieten Gegenmaßnahmen von Exploits der Technologien im Bereich der IoT-Geräte. Konkret schlagen wir 1) neuartige Angriffe auf das Interaktionsmodell des virtuellen Assistenten von Smart Speakern unter Verwendung von Ultraschall-Audio, 2) Verbesserungen für die Weckwort-Detektoren der virtuellen Assistenten und Mittel zur Erkennung bösartiger Geräte, die durch Weckwörter aktiviert werden, 3) einen neuartigen Angriff auf die kapazitiven Touchscreens von Smart Devices unter Verwendung von elektromagnetischer Interferenz und 4) Schutz gegen die Preisgabe des Standorts von Satelliten-Internetnutzern unter Verwendung von IoT-Langstrecken-Funknetzwerktechnologie vor.