Security in WiFi protocols and analysis of their impact on mobile health technologies

Abstract

Η παρούσα διατριβή παρουσιάζει μία αξιολόγηση ασφάλειας των επικοινωνιών Wi-Fi, και τον αντίκτυπό τους μέσω αλυσιδωτών επιθέσεων σε κινητές εφαρμογές στον τομέα της υγείας. Η έρευνα είναι δομημένη σε δύο βασικούς άξονες: (1) τις απειλές ασφάλειας του Wi-Fi, εστιάζοντας συγκεκριμένα στις επιθέσεις συσχέτισης στο πρωτόκολλο IEEE 802.11, όπως και την ανάλυση ασφάλειας του Wi-Fi Easy Connect — του βασικού πρωτοκόλλου διασύνδεσης συσκευών Internet of Things (IoT) με ασύρματα δίκτυα, και (2) τις συνέπειες των ευπαθειών αυτών στον τομέα της υγείας, μέσω επιθέσεων τύπου man-in-the-middle που εκμεταλλεύονται αδυναμίες σε κινητές εφαρμογές, αλλά και συσκευές για τη συλλογή του ψηφιακού φαινότυπου.

Πιο συγκεκριμένα, το πρώτο μέρος αυτής της διατριβής εξετάζει τις επιθέσεις συσχέτισης που εκμεταλλεύονται χαρακτηριστικά ευχρηστίας των σύγχρονων λειτουργικών συστημάτων. Εξερευνώντας αυτές τις επιθέσεις και αξιολογώντας την αποτελεσματικότητάς τους έναντι των υφιστάμενων μηχανισμών άμυνας, αποδεικνύεται ότι, παρά τις προσπάθειες από τη βιομηχανία για αντιμετωπιστούν, παραμένουν έγκυρες και αποτελεσματικές επιθέσεις. Επιπλέον, αναλύεται η ασφάλεια του πρωτοκόλλου Wi-Fi Easy Connect, που εισήχθη ως αντικαταστάτης του Wi-Fi Protected Setup (WPS) και αποτελεί τη βασική μέθοδο σύνδεσης IoT συσκευών με ασύρματα δίκτυα. Πραγματοποιείται μία εις βάθος ανάλυση ασφάλειας και ιδιωτικότητας του πρωτοκόλλου. Τα ευρήματά αποκαλύπτουν ότι, αντί να ενισχύει την ασφάλεια, το Wi-Fi Easy Connect εισάγει αδυναμίες που διευρύνουν την επιφάνεια επίθεσης για κακόβουλους χρήστες. Στη μελέτη ελήφθησαν υπόψη οι απαντήσεις από τη Wi-Fi Alliance σχετικά με τα ευρήματα, ενώ τονίζεται η ανάγκη για διατήρηση της ισορροπίας μεταξύ των απαιτήσεων ευχρηστίας και ασφάλειας, κατά το σχεδιασμό των ασύρματων πρωτοκόλλων.

Το δεύτερο μέρος της διατριβής αναλύει τη σημασία των επιθέσεων Wi-Fi σε κινητές συσκευές στον τομέα της υγείας. Ειδικότερα, μελετάται η περίπτωση ενός επιτιθέμενου που έχει καταφέρει να τοποθετηθεί ως man-in-the-middle, εκμεταλλευόμενος τις ευπάθειες Wi-Fi που αναλύθηκαν στο πρώτο μέρος. Από αυτή τη θέση, εξετάζονται πιθανοί κίνδυνοι που μπορεί να προκύψουν από την περαιτέρω εκμετάλλευση αδυναμιών σε ιατρικές εφαρμογές για κινητά ή από την ανάλυση μη κρυπτογραφημένης κίνησης για την εκτέλεση προηγμένων επιθέσεων phishing. Αρχικά, πραγματοποιείται μία ευρείας κλίμακας αξιολόγηση ασφάλειας σε 140 ιατρικές εφαρμογές για κινητά σε πλατφόρμες Android και iOS. Η ανάλυση αποκαλύπτει σημαντικά κενά ασφάλειας, όπως ανεπαρκείς μηχανισμούς προστασίας δεδομένων, και μετάδοση ευαίσθητων πληροφοριών υγείας (PHI) μέσω μη ασφαλών καναλιών, επιτρέποντας επιθέσεις που μπορούν να συνδυαστούν με τις επιθέσεις του πρώτου μέρους. Έπειτα, μελετώνται οι κίνδυνοι που συνδέονται με την ανάλυση του ψηφιακού φαινότυπου, όπου παρουσιάζεται ο τρόπος με τον οποίο πρότυπα συμπεριφοράς που εξάγονται από ψηφιακά ίχνη, μπορούν να χρησιμοποιηθούν για την αξιολόγηση ψυχολογικών χαρακτηριστικών. Αναλύεται ο τρόπος με τον οποίο ψηφιακοί δείκτες, όπως δείκτες παρορμητικότητας, μπορούν να εξαχθούν από μη ασφαλή κανάλια (π.χ. μία παραβιασμένη VoIP σύνδεση μέσω Wi-Fi), επιτρέποντας στοχευμένες κυβερνοεπιθέσεις, περιλαμβανομένων επιθέσεων phishing.

Η έρευνα αναδεικνύει τη συνεχώς εξελισσόμενη απειλή των ασύρματων επικοινωνιών, ιδίως σε έξυπνες συσκευές, και την κρίσιμη ανάγκη για ισχυρότερες άμυνες ασφαλείας. Τα ευρήματα παρέχουν πληροφορίες σχετικά με τους κινδύνους που προκύπτουν από τον σχεδιασμό πρωτοκόλλων που ευνοούν την ευχρηστία έναντι της ασφάλειας, καθώς και την παρουσία ευπαθειών Wi-Fi, ιδιαίτερα εκείνων που επιτρέπουν στους επιτιθέμενους να επιτύχουν θέσεις man-in-the-middle. Αποδεικνύουμε πώς τέτοιες ευπάθειες μπορούν να αξιοποιηθούν περαιτέρω για επιθέσεις σε κινητές εφαρμογές αλλά και στοχευμένες επιθέσεις τύπου phishing με τη χρήση τεχνικών ανάλυσης του ψηφιακού φαινότυπου. Πέρα από τον εντοπισμό των αδυναμιών, προτείνουμε και αναλυτικές στρατηγικές αποκατάστασης για τον περιορισμό των κινδύνων.