AutomIoT: generating smart devices interactions using android UI automator for IoT forensics

The field of IoT forensics has emerged in response to the increasing prevalence of IoT devices in critical infrastructure and various sectors like healthcare, smart homes, smart cities, industrial applications, and agriculture. As these devices become ubiquitous, they are potential witnesses and targets in both physical and digital crimes. Our focus lies in IoT forensics, specifically in analyzing network traffic from these devices. A significant challenge in IoT network traffic analysis is the scarcity of labeled datasets containing both network traffic and device activity. Manual creation of such datasets is labor-intensive and time-consuming. In response, our work introduces AutomIoT, a framework designed to automate interactions between a smart device and its compan- ion app. Leveraging the UI Automator framework, AutomIoT facilitates the creation of automated interactions and the scheduling of periodic operations for collecting network traffic data from IoT devices without human intervention. These operations are logged, enabling us to label and utilize the resulting dataset for forensic purposes As a matter of fact, it served as a foundational element for our subsequent IoT forensics analysis, with a focus on identifying spontaneous traffic within the dataset and distin- guishing it from “EVENTs” traffic, for data labeling purposes. Our analysis includes the examination of both spontaneous and triggered traffic, supported by data visualization techniques such as Time Series and Sankey Diagrams. Notably, about 60% of the dataset comprises spontaneous traffic, a key finding that will be presented and discussed.

Il campo della IoT Forensics è emerso in risposta alla crescente diffusione dei dispositivi IoT nelle infrastrutture critiche e in vari settori come la sanità, le smart home, le smart city, le applicazioni industriali e l’agricoltura. Man mano che questi dispositivi diventano ubiqui, rappresentano potenziali testimoni e bersagli in crimini sia fisici che digitali. Il nostro focus è sulla Iot Forensics, nello specifico sull’analisi del traffico di rete proveniente da questi dispositivi. Una sfida significativa nell’analisi del traffico di rete IoT è la scarsità di set di dati “etichet- tati” contenenti sia il traffico di rete che l’attività del dispositivo. La creazione manuale di tali set di dati è laboriosa e richiede molto tempo. In risposta, il nostro lavoro introduce AutomIoT, un framework progettato per automatizzare le interazioni tra un dispositivo intelligente e la relativa app di accompagnamento. Sfruttando il framework UI Automa- tor, AutomIoT facilita la creazione di interazioni automatizzate e la pianificazione di operazioni periodiche per la raccolta di dati di traffico di rete da dispositivi IoT senza intervento umano. Queste operazioni vengono registrate, consentendoci di etichettare e utilizzare il set di dati risultante a fini forensi. Infatti tale set di dati è servito come elemento fondamentale per la nostra successiva analisi forense, con un focus sull’identificazione del traffico spontaneo all’interno del set di dati e sulla distinzione dal traffico degli “EVENTs”, a scopo di etichettatura i dati di rete. La nostra analisi comprende l’esame sia del traffico “spontaneo” che di quello degli “EVENTs”, supportato da tecniche di visualizzazione dati come i diagrammi a serie tem- porali e i diagrammi di Sankey. In particolare, circa il 60% del set di dati è costituito da traffico spontaneo, una scoperta chiave che sarà presentata e discussa.