With the development of technology, Internet of Things (IoT) is trending nowadays, while its attack surface is also expanding as more devices join the IoT device family. The smart LAN camera, as one of the IoT devices, is also getting into our daily life with expanded attack surface. Given the sensitivity of camera data and the growing reliance on connected devices in our everyday lives, securing such devices is essential. However, existing security measures often fall short, leaving room for comprehensive research that assesses vulnerabilities and proposes viable solutions. This thesis examines the security vulnerabilities present in smart LAN cameras, with a focus on the TP-Link Tapo C200, a widely used smart camera for home and small business security. A structured seven- step penetration testing methodology is employed, which includes pre- engagement, reconnaissance, threat modeling using STRIDE, vulnerability analysis, exploitation, post-exploitation, and reporting. Several vulnerabilities were identified and analyzed through brute force exploitation, remote code execution, Man In The Middle (MITM), replay attack and reverse engineering. The findings lied in default username and password practices, firmware encryption, and communication protocols, which inspired the security fortification strategies. The strategies, if adopted by manufacturers, could improve the overall security of IP cameras significantly. This research contributes to the field by validating the latest security features of the Tapo C200 and highlighting areas where further improvement is necessary. Future work could expand on this by exploring vulnerabilities across different brands, conducting cost analysis for scaling security measures, and assessing cloud integration security. This project’s outcomes provide a practical framework for enhancing IoT device security, helping developers and consumers protect their devices and sensitive data more effectively than before.

Med den tekniska utvecklingen är IoT en trend idag, samtidigt som dess attackyta också expanderar i takt med att fler enheter ansluter sig till IoT- enhetsfamiljen. Den smarta LAN-kameran, som är en av IoT-enheterna, blir också en del av vårt dagliga liv med en utökad attackyta. Med tanke på hur känsliga kameradata är och det växande beroendet av uppkopplade enheter i vår vardag är det viktigt att säkra sådana enheter. Befintliga säkerhetsåtgärder är dock ofta otillräckliga, vilket ger utrymme för omfattande forskning som bedömer sårbarheter och föreslår genomförbara lösningar. Den här avhandlingen undersöker de säkerhetsproblem som finns i smarta LAN-kameror, med fokus på TP-Link Tapo C200, en allmänt använd smart kamera för säkerhet i hem och småföretag. En strukturerad sjustegsmetodik för penetrationstestning används, som inkluderar förengagemang, rekognosering, hotmodellering med STRIDE, sårbarhetsanalys, exploatering, efterexploa- tering och rapportering. Flera sårbarheter identifierades och analyserades genom brute force-exploatering, remote code execution, MITM, replay attack och reverse engineering. Resultaten låg i standardanvändarnamn och lösenord, kryptering av fast programvara och kommunikationsprotokoll, vilket inspirerade till strategierna för att stärka säkerheten. Om tillverkarna använder sig av dessa strategier kan den övergripande säkerheten för IP-kameror förbättras avsevärt. Denna forskning bidrar till området genom att validera de senaste säkerhetsfunktionerna i Tapo C200 och belysa områden där ytterligare förbättringar är nödvändiga. Framtida arbete kan bygga vidare på detta genom att utforska sårbarheter hos olika varumärken, genomföra kostnadsanalyser för att skala upp säkerhetsåtgärder och bedöma säkerheten vid molnintegration. Projektets resultat ger ett praktiskt ramverk för att förbättra säkerheten för IoT- enheter, vilket hjälper utvecklare och konsumenter att skydda sina enheter och känsliga data mer effektivt än tidigare.