Kapitlet ger en sammanfattande beskrivning av studiens resultat. Vidare beskrivs studiens implikationer och begränsningar. Dessutom beskrivs studiens slutsatser och
rekommendationer. Kapitlet avslutas med förslag på vidare forskning.
6.1 Resultat
Resultaten visar att filtransporten mellan noderna krypteras av nätverksnyckeln som är allmänt känd vilket innebär att risken för avlyssning är hög. TRÅDFRI:s gateway implementerar större delen av OTA-säkerheten då den naturligt agerar OTA-server. System utan gateway är fortfarande mottagliga för OTA-uppdateringar vilket visar att PAN-enheten verifierar att uppgraderingsfilen inte blivit modifierad, förmodligen i form utav en Checksum. Den visar dock även på brister när det kommer till versionsverifieringen.
Med en utomstående koordinator går det att lura PAN-enheten till att nedgradera sin mjukvara och möjligtvis införa mjukvara med tidigare kända problem.
Utan en officiell IKEA TRÅDFRI gateway kommer man inte kunna använda IKEA Smart Home App likväl som man inte kommer kunna uppdatera mjukvaran i enheterna automatiskt. Detta kan anses vara ett problem då det kan finnas befintliga eller upptäckas nya säkerhetsproblem som skulle behöva en patch. Vilket inte är möjligt då man saknar en enhet som distribuerar ut mjukvaran.
Att IKEA valde att implementera Zigbee standarden som tillämpar mindre antal säkerhetsparametrar jämfört andra teknologier som exempelvis Zigbee Smart Energy, beror förmodligen på kompabiliteten med resten av smarta hemmet marknaden. Smart Energy teknologien är delvis kompatibel med Zigbee men adderar ytterliggare säkerthetsaspekter utöver de som är definierade i Zigbee.
6.2 Implikationer
På grund av den ökande populariteten av IoT-enheter ökar kraven ur ett datasäkerhetsperspektiv. Datasäkerhetsperspektivet måste ta väsentligt större plats under utvecklingsprocessen likväl som under enheternas livscykel. Både gällande frågan om OTA- uppdateringars påverkan på integriteten men även hur ett etablerat företag inom IoT, som IKEA, implementerar dessa. En första kontakt med IKEA gjordes 2020-05-10 via mail, efter vidare mailkonversation presenterades våra resultat för deras Zigbee expert Ulf Axelsson. Axelsson besvarade med att han delade bilden av att TRÅDFRI E27 LED Bulb går att nedgradera men kunde inte rakt av förklara varför. Information skulle skickas vidare internt och inför vidare Zigbee-certifieringar skulle OTA protokollet ses över. Resultatet och slutsatsen som framgår i denna studie väntas därmed kunna bidra till vidare säkerhetsarbete hos IKEA såvväl som vid framtida forskning inom detta och liknande områden.
Då studien genomfördes som en fallstudie begränsades räckvidden, fokus var endast på TRÅDFRI E27 LED Bulb och därmed har det inte tagits hänsyn till hur andra TRÅDFRI-enheter hanterar de problem som tagits upp. Studien har heller inte genomförts eller tagit hänsyn till andra icke IKEA Zigbee system. Resultatet ska därför inte ses som en generalisering.
6.4 Slutsatser och rekommendationer
OTA-uppdateringar på TRÅDFRI plattformen sker förnuvarande endast på ett säkert sätt med TRÅDFRI:s gateway som koordinator. Vilket kan anses vara oroande då TRÅDFRI marknadsförs av IKEA som en produkt vars grundläggande funktioner inte kräver en gateway. Som tidigare nämnt använder IKEA den senaste versionen av Zigbee, 3.0, som är bakåtkompatibelt med tidigare versioner vilket leder till att gamla säkerhetslösningar fortfarande används i aktuella produkter. Varför det är såhär är svårt att svara på, men däremot är det klart att protokollet är mottagligt för exponering. Att ifrågasätta Zigbee Alliance och deras krav är också känsligt då de har gjort klart för sig att majoriten av säkerhetsaspekterna är upp till tillverkarna. Men om man ska landa i någon slags slutsats hamnar den mitt i mellan. Med en ökande popularitet för Zigbee som numera är världsledande kommer även med ett ansvar, ett ansvar som bör innebära ett tätare sammarbete mellan företag och organisationen. I slutändan handlar det om att adoptera och anpassa sig men framförallt lära sig av varandra. När det kommer till certifikatet erhållet från ZigBee Alliance visar det att IKEA inte har svarat med full medvetenhet om produktens säkerhet, vilket stärks av studiens resultat.
En rekommendation för framtida versioner av TRÅDFRI plattformen är att verifieringsmetoden bör implementeras i noderna istället för gatewayen. Resultatet blir då att användaren är skyddad oavsett om man väljer att använda den officiella gatewayen eller inte. Den publika http-servern från IKEA innehållande det senaste versionerna bör bli icke publik och därav skulle användare inte längre få tag på versionsnummer eller möjligheten att modifiera denna fil.
En ytterligare rekommendation och tillvägagångsätt för att lösa problemet med uppdateringar utan gateway skulle IKEA kunna använda sig av Bluetooth Low Energy i kombination med en utökad funktion IKEA Smart Home App. Genom att låta telefonen via applikationen hämta uppdateringen för att sedan överföra denna via Bluetooth Low Energy till exempelvis en lampa. Resultatet blir då att användare utan gateway även kan ta del av de mjukvaruunderhåll som IKEA erbjuder, vilket i längden förlänger produktens livscykel.
Syftet till att arbetet inledde med en litteraturöversikt var för att kunna ge rapporten en högre validitet. Då en litteraturöversikt tillåter läsaren att ta del av redan existerande fakta och åsikter kan läsaren skapa sin egna bild av ämnet.
Det kvalitativa experimentet som efterföljde valdes då arbetet söker efter ett beteende vid en viss händelse. Som beskrivet i 2.2 Arbetsprocess passar experiment för att beskriva processer och händelser. En annan anledning till att ett experiment valdes var på grund av tidigare studier som använt liknande utrustning och visat sig resultatrika.
6.5 Vidare forskning
Då denna studie endast täcker TRÅDFRI E27 LED Bulb finns det utrymme för att undersöka fler enheter inom TRÅDFRI-familjen. Andra Zigbee-certifierade IoT-system kan vidare undersökas genom att applicera metod och hypotes från studien, t.ex Philips och Samsung. I filen version_info.json länkas man vidare till en url innehållade mjukvara beroende på vilken enhet som önskas uppdatera. Dessa länkar innehåller den kompilerade mjukvarufilen som installeras på hårdvaran. Mjukvarufilen är av typen hex, det kan möjligtvis finnas metoder för att dekompilera denna fil. Genom dekompilering kan man översätta ett program som tidigare kompilerats till maskinkod eller bytekod till ett högnivåspråk. När kodfilen är tillbaka till en typ
som går att redigera i högnivåspråk finns det möjligthet att modifiera innehållet. Vidare forskning kring uppdatering med egen modiferad mjukvara kan vara intressant att undersöka närmare.
Referenser
[1] F. Winter och J. Lundström, ”Insamling av data i en uppkopplad miljö,” Umeå Universitet, 2017. [Online]. Available: http://www.diva-portal.org/smash/get/diva2:1103587/FULLTEXT01.pdf. [Använd 20 Juni 2020].
[2] Z. Alliance, ”ZigBee - What is ZigBee,” [Online]. Available: https://zigbeealliance.org/solution/zigbee/. [Använd 4 Maj 2020].
[3] IKEA, ”IKEA Fakta och Siffror 2018,” [Online]. Available: https://www.ikea.com/se/sv/this-is- ikea/about-us/ikea-fakta-och-siffror-2018-pub76beaa40. [Använd 4 Maj 2020].
[4] I. Howitt och J. Gutierrez, ”IEEE 802.15.4 low rate - wireless personal area network coexistence issues,” IEEE, New Orleans, 2003.
[5] T. L. Hoffman, Cellco Partnership Co, 2000. [Online]. Available: https://patents.google.com/patent/US6622017B1/en. [Använd 15 June 2020].
[6] M. Szreder, ”IoT Security in Practice,” [Online]. Available: http://www.diva- portal.org/smash/get/diva2:1362068/FULLTEXT01.pdf. [Använd 5 Maj 2020].
[7] Digikey, ”Episode 5: The “S” missing from IoT is for Security – Very Important!!,” Digikey, [Online]. Available: https://www.digikey.se/en/maker/blogs/2019/the-s-missing-from-iot-is-for-security. [Använd 5 Maj 2020].
[8] OWASP, ”IoT Top 10 2018,” Network World, 2018. [Online]. Available: https://owasp.org/www-pdf- archive/OWASP-IoT-Top-10-2018-final.pdf. [Använd 4 Maj 2020].
[9] J. Z. Javier Lopez, Wireless Sensor Network Security, Amsterdam: IOS Press, 2008.
[10] N. Lethaby, ”A more secure and reliable OTA update architecture for IoT devices,” [Online]. Available: https://www.ti.com/lit/wp/sway021/sway021.pdf. [Använd 5 Maj 2020].
[11] B. B. o. D. Paulin, ”Kvalitativ och kvantitativ undersökningsmetodik,” Chalmers, 25 Februari 2015.
[Online]. Available:
https://student.portal.chalmers.se/sv/chalmersstudier/programinformation/maskinteknik/kandid atarbete/Documents/20150225%20Vetenskapsmetodik%20förel%202%20PS.pdf. [Använd 5 Maj 2020].
[12] J. D. C. John W Creswell, Research Design: Qualitative, Quantitative, and Mixed Methods Approaches, SAGE Publications, 2017.
[13] J. A. M. Bonnie Kaplan, i Qualitative Research Methods for Evaluating Computer Information
Systems, 2005, pp. 30-31.
[14] D. Byrne, Research design, Los Angeles: CA: SAGE Publications, Inc, 2016.
[15] K. Kanters, ”Flashing the firmware on the CC2531 USB stick,” [Online]. Available: https://www.zigbee2mqtt.io/getting_started/flashing_the_cc2531.html. [Använd 5 Maj 2020]. [16] Koenkk, ”ZIGBEE2MQTT,” [Online]. Available: https://www.zigbee2mqtt.io. [Använd 4 Maj 2020]. [17] T. Nordquist, ”MQTT Explorer,” [Online]. Available: http://mqtt-explorer.com. [Använd 5 Maj
2020].
[18] I. Developers, ”IKEA Version Feed,” [Online]. Available:
http://fw.ota.homesmart.ikea.net/feed/version_info.json. [Använd 4 Maj 2020]. [19] D. Gislason, ”Zigbee wireless networking,” Newnes, 2007, p. Chapter 1.
[20] Z. Alliance, ”ZigBee - Why standards,” [Online]. Available: https://zigbeealliance.org/why- standards/. [Använd 5 Maj 2020].
[21] Z. Alliance, ”ZigBee - Ceftification,” [Online]. Available: https://zigbeealliance.org/certification/. [Använd 5 Maj 2020].
[22] E. Mosquitto™, ”An open source MQTT broker,” [Online]. Available: https://mosquitto.org. [Använd 20 May 2020].
[23] P. Jay M. Jacobsmeyer, ”Connection on a personal level,” Urgent Communications, [Online]. Available: https://urgentcomm.com/2007/11/01/connecting-on-a-personal-level/. [Använd 5 Maj 2020].
[24] J. Borgini, ”6 common challanges to IoT OTA updates,” [Online]. Available: https://internetofthingsagenda.techtarget.com/tip/6-common-challenges-to-IoT-OTA-updates. [Använd 5 Maj 2020].
[25] Z. Alliance, ”Zigbee Cluster Library Specification,” 14 Januari 2016. [Online]. Available: https://zigbeealliance.org/wp-content/uploads/2019/12/07-5123-06-zigbee-cluster-library-
specification.pdf. [Använd 5 Maj 2020].
[26] IKEA, ”Allt du behöver veta om IKEA smart belysning,” [Online]. Available: https://www.ikea.com/se/sv/rooms/smart-belysning-pubcbf51131. [Använd 5 Maj 2020].
[27] Alliance, ZigBee, ”Trådfri LED bulb WS1.0,” ZigBee Alliance, [Online]. Available: https://zigbeealliance.org/zigbee_products/tradfri-led-bulb-ws1-0/. [Använd 10 Maj 2020]. [28] Silabs, 2018. [Online]. Available: https://www.silabs.com/documents/public/user-guides/ug103-
02-fundamentals-zigbee.pdf. [Använd 7 Maj 2020].
[29] NXP, ”Zigbee 3.0,” Augusti 2019. [Online]. Available:
https://www.nxp.com/docs/en/brochure/75017677.pdf. [Använd 7 Maj 2020].
[30] Z. Alliance, ”ZigBee Specification,” 5 Augusti 2015. [Online]. Available: https://zigbeealliance.org/wp-content/uploads/2019/12/docs-05-3474-21-0csg-zigbee-
specification.pdf. [Använd 8 Maj 2020].
[31] NXP, ”MAXIMIZING SECURITY IN ZigBee NETWORKS,” Januari 2017. [Online]. Available: https://www.nxp.com/docs/en/supporting-information/MAXSECZBNETART.pdf. [Använd 12 Maj 2020].