Improving the security of IoT devices by implementing a location-based access control

Abstract

Debido al continuo aumento de los dispositivos del Internet de las cosas (IoT), los usuarios cada vez adquieren más dispositivos de este tipo para sus hogares. Esto hace que sus aparatos estén dotados de inteligencia y conectados a la red, pudiendo controlarlos remotamente, pero dejándolos expuestos a ataques provenientes de cualquier parte del mundo. Esto supone un riesgo para el hogar del usuario, ya que estos dispositivos se han convertido uno de los principales objetivos de los ciberataques. Con este proyecto, se busca definir un doble factor de autenticación que emplee la posición del usuario como característica de seguridad. Este sistema trata de simular la seguridad que aporta el acceso físico al dispositivo. Para emplear este método, se clasifican las acciones en dos clases: arriesgadas y no arriesgadas. Esta clasificación deriva de un estudio de los dispositivos IoT y sus acciones entre las compañías de dispositivos IoT más populares. En el caso de las acciones no arriesgadas, el sistema funcionará por medio de una validación estándar. Sin embargo, en el caso de las arriesgadas, el sistema comprobará la posición del usuario y realizará únicamente los comandos cuando el usuario que los envíe se encuentre en una localización segura. Esto ha sido probado mediante una aplicación iOS. Para capturar la posición del usuario, se ha empleado el GPS del teléfono móvil, lo que ha llevado a estudiar la precisión de la localización y los retrasos en la obtención de la posición. Además, se ha realizado un estudio sobre cómo podría mejorarse la precisión en la localización del usuario.

Due to the continuous growth of the Internet of Things devices (IoT), users are acquiring more of this type of devices for their homes. With this, the devices are endowed with intelligence and connected to the network, which enables the remote control, but it leaves them exposed to attacks from all around the world. This involves a risk for the user’s home, as these devices have become one of the main targets of cyberattacks. With this project, a new two factor authentication method that uses the location of the user as a security feature is trying to be defined. This system tries to provide the security that the physical access to the device gives. To use this method, actions have been sorted in two classes: risky and non-risky. This classification is a result of a study of the devices and their actions of the most popular IoT manufacturers. In the case of non-risky actions, the system will perform a standard validation. However, in the case of risky actions, the system will check the user’s position and will only perform the commands that are sent when the user is in a secure area. This has been demoed with an iOS app. To obtain the user’s position, the GPS of the mobile phone has been used. This resulted in a study about the GPS precision ant the delay when obtaining the position. Also, a study on how to improve this precision has been carried out.