The Consumer Internet of Things (CIoT) is a term to describe everyday items connected to the internet. The number of CIoT devices is growing rapidly and with it comes a number of security problems. One way to tackle these security issues is by learning from mistakes and to be aware of the risks at hand at both production and consumer level.

This report examines vulnerabilities from the years 2008-2018 in the National Vulnerability Database (NVD). With the Common Vulnerability Scoring System (CVSS) and the Common Weakness Enumeration (CWE) the following questions are answered: Which are the most common types of vulnerabilities in CIoT products, what risks do they pose and is there evidence of a connection between type of product and type of vulnerability?

The study found that the most common weaknesses were CWE-119, CWE200 CWE-20 and CWE-264. However, the vulnerabilities of type CWE-119 turned out to be highly concentrated to Apple products and do not reflect the overall trends. The before mentioned weaknesses pose risks to users’ confidentiality, integrity and the availability of the software (CIA). The CWEs with the greatest risk of exploitation were CWE-264 with the highest percentage of complete impact on the CIA attributes, and CWE-119 with lower percentage of complete impact but with far more occurrences. The study found no conclusive answer whether there is a connection between products and weaknesses, but an indication of a relation between certain CWEs and the company Apple. Further intensive and recurring studies should be conducted in the field.

Consumer Internet of Things (CIoT) är ett uttryck för vardagliga produkter med anslutning till internet. Antalet CIoT enheter ökar fort vilket har medfört ett antal olika säkerhetsutmaningar. Ett sätt att handskas med sådana säkerhetsproblem är att lära sig från tidigare misstag och att vara medveten om de involverade riskerna på både produktionsoch konsumentnivå.

Denna rapport undersöker sårbarheter från åren 2008-2018 i National Vulnerability Database (NVD). Med hjälp av Common Vulnerability Scoring System (CVSS) och Common Weakness Enumeration (CWE) har följande frågor besvarats: Vilka är de vanligaste typerna av sårbarheter i CIoT, vilka risker medför dessa och finns det belägg för ett samband mellan typ av produkt och typ av sårbarhet?

Studien fann att de vanligaste svagheterna var CWE-119, CWE-200, CWE20 och CWE-264. Sårbarheterna av typ CWE-119 visade sig dock vara ovanligt koncentrerade i Apple produkter och representerade inte fördelningen i i allmänhet. De ovan nämnda svagheter utgör risker för användarnas konfidentialitet, integritet och mjukvarans tillgänglighet (CIA). CWE:na som utgör störst risk är CWE-264 som med högst sannolikhet visade total inverkan på CIA aspekterna och CWE-119 som trots lägre sannolikhet för total inverkan, var den oftast uppträdande. Studien fann inget definitivt svar för huruvida det existerar ett samband mellan produkter och svagheter, däremot en antydan om ett samband mellan särskilda svagheter och företaget Apple. Det behövs utförligare och periodiska studier på området i helhet.