Security and Privacy in the Internet of Things: Technical and Economic Perspectives Sicherheit und Privatsph¨areim Internet der Dinge: Technische und ¨okonomische Perspektiven Der Technischen Fakult¨atder Friedrich-Alexander-Universit¨at Erlangen-N¨urnberg zur Erlangung des Grades DOKTOR-INGENIEUR vorgelegt von Philipp Morgner Als Dissertation genehmigt von der Technischen Fakult¨atder Friedrich-Alexander-Universit¨at Erlangen-N¨urnberg Tag der m¨undlichen Pr¨ufung: 31. Mai 2019 Vorsitzender des Promotionsorgans: Prof. Dr.-Ing. Reinhard Lerch Gutachter: Prof. Dr.-Ing. Felix Freiling Gutachterin: Prof. Dr. Christina P¨opper Abstract For the last twenty years, the Internet extends from digital spheres into the physical world through applications such as smart homes, smart cities, and Industry 4.0. Although this technological revolution of the Internet of Things (IoT) brings many benefits to its users, such as increased energy efficiency, optimized and automated processes, and enhanced comfort, it also introduces new security and privacy concerns. In the first part of this thesis, we examine three novel IoT security and privacy threats from a technical perspective. As first threat, we investigate privacy risks arising from the collection of room climate measurements in smart heating applications. We assume that an attacker has access to temperature and relative humidity data, and trains machine learning classifiers to predict the presence of occupants as well as to discriminate between different types of activities. The results show the leakage of room climate data has serious privacy implications. As second threat, we examine how the expansion of wide-area IoT infrastructure facilitates new attack vectors in hardware security. In particular, we explore to which extent malicious product modifications in the supply chain allow attackers to take control over these devices after deployment. To this end, we design and build a malicious IoT implant that is inserted in arbitrary electronic products. In the evaluation, we leverage these implants for hardware-level attacks on safety- and security-critical products. As third threat, we analyze the security of ZigBee, a popular network standard for smart homes. We present novel attacks that make direct use of the standard’s features, showing that one of its commissioning procedures is insecure by design. In the evaluation of these vulnerabilities, we reveal that attackers are able to eavesdrop key material as well as take-over ZigBee products and networks from a distance of more than 100 meters. In the second part of this thesis, we investigate how IoT security can be improved. Based on an analysis of the root causes of ZigBee’s security vulnerabilities, we learn that eco- nomic considerations influenced the security design of this IoT technology. Consumers are currently not able to reward IoT security measures as an asymmetric information bar- rier prevents them from assessing the level of security that is provided by IoT products. As a result, manufacturers are not willing to invest into comprehensive security designs as consumers cannot distinguish them from insufficient security measures. To tackle the asymmetric information barrier, we propose so-called security update labels. Focusing on the delivering of security updates as an important aspect of enforcing IoT security, these labels transform the asymmetric information about the manufacturers’ willingness to provide future security updates into an attribute that can be considered during buying decisions. To assess the influence of security update labels on the consumers’ choice, we conducted a user study with more than 1,400 participants. The results reveal that the proposed labels are intuitively understood by consumers, considerably influence their buy- ing decisions, and therefore have the potential to establish incentives for manufacturers to provide sustainable security support. Zusammenfassung In den letzten 20 Jahren hat sich das Internet durch Applikationen wie Smart Homes, Smart Cities und Industrie 4.0 uber¨ die digitalen Sph¨aren hinaus in die physische Welt ausgestreckt. Obwohl dieses sogenannte Internet der Dinge (engl. Internet of Things, IoT) viele Vorteile fur¨ die Nutzer mit sich bringt, wie beispielsweise optimierte und automati- sierte Prozesse, h¨ohere Energieeffizienz und mehr Komfort, so fuhrt¨ es doch auch zu neuen Herausforderungen in Bezug auf Sicherheit und Privatsph¨are. Im ersten Teil der Arbeit wurden drei neue Bedrohungen im IoT aus einer technischen Perspektive untersucht. Zuerst wurden Privatsph¨are-Risiken analysiert, die durch eine massenhafte Sammlung von Raumklima-Daten in Smart Homes entstehen. Dabei wurde angenommen, dass ein Angreifer nur Zugriff auf Temperatur- und Luftfeuchtigkeitsmess- daten hat, und gezeigt, dass man damit sowohl die Anwesenheit von Bewohnern als auch einzelne Aktivit¨aten mit Hilfe von maschinellem Lernen voneinander unterscheiden kann. Als Zweites wurden neue Angriffsm¨oglichkeiten betrachtet, die durch die Ausbreitung von fl¨achendeckender IoT-Infrastruktur entstehen. Insbesondere wurde erforscht, in welchem Ausmaß Hardware-Manipulationen von Produkten in der Lieferkette es Angreifern erlau- ben, sp¨ater Kontrolle uber¨ diese manipulierten Ger¨ate zu ubernehmen.¨ Dazu wurde ein b¨osartiges IoT-Implantat entwickelt, das in beliebige elektrische Produkte eingesetzt wer- den kann. Drittens wurde die Sicherheit von ZigBee untersucht, einem weitverbreiteten Netzwerkstandard fur¨ Smart Homes. Durch Angriffe, die lediglich vorhandene Funktionen des Standards ausnutzen, wurde die Unsicherheit des sogenannten Touchlink Commissio- nings gezeigt, einer von zwei m¨oglichen Inbetriebnahme-Prozeduren in diesem Standard. Die praktische Auswertung dieser Schwachstellen ergab, dass es Angreifern m¨oglich ist, Schlusselmaterial¨ abzuh¨oren, sowie ZigBee-Produkte und potentiell ganze Netzwerke aus einer Entfernung von uber¨ 100 Metern zu ubernehmen.¨ Im zweiten Teil der Arbeit wurden Ans¨atze zur Verbesserung der Sicherheit untersucht. Die Ursachenanalyse der Sicherheitsprobleme in ZigBee ergab, dass ¨okonomische Ent- scheidungen einen Einfluss auf das Sicherheitsdesign hatten. Konsumenten sind aktuell nicht in der Lage, das Sicherheitslevel eines IoT-Produktes zu bewerten. Infolgedessen investieren Hersteller nicht in starke Sicherheitsdesigns, da Konsumenten diese sowieso nicht von unzureichenden Sicherheitsmechanismen unterscheiden k¨onnen. Um diese asym- metrische Informationsbarriere abzubauen, wurden sogenannte Sicherheitsupdate-Labels vorgeschlagen. Diese Labels verwandeln die asymmetrische Information, inwiefern Her- steller zukunftig¨ Sicherheitsupdates bereitstellen werden, in verst¨andliche Produktattri- bute, welche bei Kaufentscheidungen berucksichtigt¨ werden k¨onnen. Um den Einfluss der Sicherheitsupdate-Labels auf Konsumentscheidungen zu belegen, wurde eine Nutzerstudie mit uber¨ 1.400 Teilnehmern durchgefuhrt.¨ Die Ergebnisse zeigen, dass Konsumenten die- se Labels intuitiv verstehen und beachten. Infolgedessen k¨onnen diese Labels Anreize fur¨ Hersteller schaffen, nachhaltig die Sicherheit ihrer IoT-Produkte zu unterstutzen.¨ Danksagung Die vorliegende Dissertation ist aus dem Privileg entstanden, am Lehrstuhl f¨ur IT- Sicher- heitsinfrastrukturen an der Friedrich-Alexander-Universit¨atErlangen-N¨urnberg zu pro- movieren. Insbesondere zwei Personen haben einen maßgeblichen Anteil an diesem Erfolg. Zum einen Felix Freiling, welcher als Lehrstuhlinhaber eine hervorragende Arbeitsatmo- sph¨aregeschaffen hat, in welcher meine Forschungsideen Realit¨atwerden durften. Durch sein offenes Ohr und seinen pers¨onlichen Einsatz f¨urMitarbeitende und Studierende ist er mir ein Vorbild. Zum anderen Zinaida Benenson, welche mich als fachliche Betreuerin zu einem erfolgreichen Promovierenden ausgebildet hat. Durch ihre Kompetenz und gewis- senhafte Arbeitsweise hat sie mich gelehrt, wissenschaftliche Methoden zu verstehen und anzuwenden, sowie die Kunst des Verfassens von Publikationen zu durchdringen. Ich bedanke mich herzlich bei beiden f¨urdie weitreichende Unterst¨utzung! Des Weiteren bedanke ich mich herzlich bei Christina P¨opper f¨ur die Bereitschaft, das Zweitgutachten f¨urdiese Dissertation zu verfassen. Im Laufe meiner Forschungst¨atigkeiten hatte ich das Vorrecht, wissenschaftliche Projekte mit verschiedenen Forschenden, Doktoranden und Studierenden durchzuf¨uhren.Besonders bedanken m¨ochte ich mich bei Frederik Armknecht und Christian M¨ullerf¨urdie erfolg- reiche Zusammenarbeit im DFG-Projekt1 “Entwicklung und Anwendung eines fundierten Rahmenwerkes f¨urSicherheit in Sensornetzen”. Mein weiterer Dank gilt Bj¨ornEskofier, Matthias Ring und Christian Riess f¨urdie fachliche Unterst¨utzungbei der Auswertung von Raumklima-Daten mittels maschinellen Lernens. Ebenso bedanke ich mich bei Nicole Koschate-Fischer und Christoph Mai f¨urdie fachliche Unterst¨utzungbei der Umsetzung der Nutzerstudie zu den Sicherheitsupdate-Labels. Dar¨uber hinaus gilt mein Dank Stephan Mattejat, Stefan Pfennig und Dennis Salzner f¨urdie Mitarbeit an gemeinsamen Publika- tionen. Ich bedanke mich bei Vincent Haupert, Paulo Martinez, Gaston Pugliese, Lena Reinfelder und Theresa Rottmann f¨urdas Korrekturlesen von Teilen dieser Arbeit. Mein erweiterter Dank gilt meinen Lehrstuhl-Kolleginnen und -Kollegen, sowohl dem wis- senschaftlichen als auch dem administrativen Personal, die mir mit ihrer tatkr¨aftigeUn- terst¨utzungund Freundschaft mehr als nur ein Arbeitsumfeld gegeben haben. Nicht zuletzt danke ich meinen Eltern,