Penetrationstest av IoT-enheter – så testar vi på riktigt
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Penetrationstest av IoT-enheter – så testar vi på riktigt
IoT-enheter i produktion har konsekvent fler och allvarligare sårbarheter än traditionell IT-infrastruktur. Firmware med hårdkodade lösenord, okrypterad kommunikation över proprietära protokoll och avsaknad av patchhantering gör uppkopplade enheter till en prioriterad attackvektor. Ett strukturerat penetrationstest av IoT-enheter kartlägger dessa risker innan en angripare gör det – och ger konkret underlag för att uppfylla kraven i NIS2-direktivet och Cyber Resilience Act.
Viktiga slutsatser
- IoT-penetrationstest kräver specialiserad metodik som täcker firmware, kommunikationsprotokoll, molnbackend och fysisk åtkomst – inte bara nätverksskanning
- NIS2-direktivet och Cyber Resilience Act (CRA) ställer explicita krav på säkerhetstestning av uppkopplade enheter i kritisk infrastruktur
- OWASP IoT Top 10 ger en strukturerad utgångspunkt, men verklig testning kräver manuell analys av enhetens unika attackyta
- Firmware-extraktion och analys avslöjar hårdkodade credentials och bakdörrar som automatiserade verktyg missar
- Kombinera black-box och grey-box-test för att simulera både externa angripare och insiderhot
Vad ett IoT-penetrationstest faktiskt innebär
Penetrationstestning av IoT-enheter är en kontrollerad, metodisk attack mot uppkopplade system i syfte att identifiera sårbarheter innan de exploateras i skarpt läge. Det handlar inte om att köra en sårbarhetsskanner mot en IP-adress – det handlar om att förstå hela enhetens attackyta, från hårdvarans debugg-portar till molnbackendens API:er.
I Opsios SOC ser vi dagligen trafik från IoT-enheter som beter sig oväntat: sensorer som kommunicerar med okända endpoints, kameror med öppna RTSP-strömmar, och industriella styrsystem som exponerar Modbus-portar utan autentisering. Den gemensamma nämnaren? Enheterna har aldrig testats ordentligt.
Till skillnad från traditionell penetrationstestning av webbapplikationer eller nätverk, omfattar IoT-test minst fem distinkta attackytor:
- Firmware och mjukvara – extraktion, dekompilering och analys av enhetens inbyggda programvara
- Hårdvara – fysisk åtkomst via JTAG, UART, SPI eller direkt avläsning av flash-minne
- Trådlös kommunikation – protokollanalys av Zigbee, BLE, Z-Wave, LoRa, WiFi och proprietära protokoll
- Nätverkskommunikation – MQTT, CoAP, HTTP/REST-API:er och molnbackend
- Molninfrastruktur – den backend som samlar in, lagrar och bearbetar data från enheterna
Det är just bredden som gör IoT-pentestning komplex. En traditionell pentestare som bara tittar på nätverkstrafik missar majoriteten av sårbarheterna.
Vill ni ha expertstöd med penetrationstest av iot-enheter – så testar vi på riktigt?
Våra molnarkitekter hjälper er med penetrationstest av iot-enheter – så testar vi på riktigt — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
IoT kontra traditionell pentestning – en jämförelse
| Dimension | Traditionell pentestning | IoT-pentestning |
|---|---|---|
| Attackyta | Nätverk, webbappar, API:er | Firmware, hårdvara, trådlöst, nätverk, moln |
| Protokoll | HTTP/S, TCP/IP, DNS | MQTT, CoAP, Zigbee, BLE, Modbus, proprietära |
| Patchbarhet | Regelbundna uppdateringar möjliga | Ofta inga OTA-uppdateringar, manuell firmware-flash |
| Resurser på enheten | Full OS, minne, CPU | Begränsat minne, inga loggar, minimal krypteringskapacitet |
| Fysisk åtkomst | Sällan relevant | Ofta avgörande – JTAG, UART, chip-avläsning |
| Standardramverk | OWASP Top 10, PTES, OSSTMM | OWASP IoT Top 10, ETSI EN 303 645 |
| Regulatoriska krav | PCI DSS, SOC 2 | NIS2, CRA, RED-DA, ETSI EN 303 645 |
Metodik: så genomför vi ett IoT-penetrationstest
Fas 1: Rekognosering och inventering
Innan vi rör en enda enhet behöver vi förstå vad som finns i miljön. Det låter självklart, men verkligheten är att de flesta organisationer saknar en komplett inventering av sina IoT-enheter. Opsios NOC-team har sett företag med tre gånger fler uppkopplade enheter än vad de själva trodde.
Praktiska steg:
- Passiv nätverksskanning med verktyg som Nmap (med IoT-specifika script) och Shodan för att identifiera exponerade enheter
- Firmware-identifiering – vilken version kör enheten, och finns det kända CVE:er?
- Protokollkartläggning – vilka kommunikationsvägar används? MQTT-broker, REST-API, BLE-advertisement?
- Dokumentationsgranskning – tekniska specifikationer, nätverksdiagram och eventuella säkerhetsdeklarationer från tillverkaren
Fas 2: Firmware-analys
Firmware-analys är ofta den mest avslöjande delen av ett IoT-penetrationstest. Här extraherar vi enhetens mjukvara och analyserar den i detalj.
Extraktion sker antingen genom nedladdning från tillverkarens uppdateringsserver, direkt avläsning av flash-minnet (via SPI eller parallell anslutning), eller genom JTAG/UART-gränssnitt. Verktyget Binwalk hanterar dekomprimering och filsystemsextraktion, medan Ghidra och IDA Pro används för djupare reverse engineering.
Vad vi letar efter:
- Hårdkodade lösenord och API-nycklar
- Kryptografiska brister – svaga algoritmer, återanvända nycklar, klartext
- Bakdörrar och debug-funktioner som glömts kvar i produktion
- Osäkra uppdateringsmekanismer (osignerad firmware, HTTP istället för HTTPS)
I en typisk analys hittar vi hårdkodade credentials i ungefär hälften av enheterna vi testar. Det är inte en överdrift – det är vad vi faktiskt ser.
Fas 3: Kommunikationsanalys
Här analyserar vi trafik mellan enheten, dess backend och eventuella mellanliggande system. Vi sätter upp man-in-the-middle-scenarion för att inspektera om data krypteras korrekt, om certifikatvalidering fungerar och om det finns möjligheter till replay-attacker.
MQTT – den mest använda protokollet i IoT – är ofta konfigurerat utan autentisering eller med standardlösenord. Vi ser detta regelbundet i Opsios SOC: enheter som publicerar sensordata till MQTT-brokers som vem som helst kan prenumerera på.
BLE och Zigbee kräver specialiserad hårdvara: Ubertooth One för Bluetooth-analys, och Killerbee-ramverket med lämplig radio för Zigbee. Målet är att identifiera om kommunikationen kan avlyssnas, manipuleras eller uppspelas.
Fas 4: API- och molnbackend-testning
IoT-enheter existerar inte i vakuum. Data lagras och bearbetas i molnet, och det är ofta här de allvarligaste sårbarheterna finns – inte på själva enheten.
Vi testar:
- Autentisering och auktorisering – kan en användare komma åt data från andra användares enheter (IDOR-sårbarheter)?
- API-säkerhet – input-validering, rate limiting, versionhantering
- Dataskydd – lagras personuppgifter krypterat? Uppfylls GDPR:s krav på dataminimering?
Burp Suite och OWASP ZAP är standardverktyg här, men vi kompletterar med manuell testning av enhetspecifika API-anrop som automatiserade verktyg inte känner till.
Fas 5: Fysisk säkerhetstestning
Om en angripare kan få fysisk åtkomst till en IoT-enhet – och det kan de ofta, eftersom enheter sitter i offentliga utrymmen, serverrum med bristfällig åtkomstkontroll eller på kunders anläggningar – öppnas helt nya attackvektorer.
Vi undersöker:
- Exponerade debug-portar (JTAG, UART) som ger direkt åtkomst till operativsystemet
- Möjlighet att extrahera flash-minne direkt från kretskortet
- Tamper-skydd – upptäcker enheten att den manipulerats?
- Boot-sekvens – kan vi avbryta boot-processen och få root-åtkomst?
Riskbedömning och prioritering
Att hitta sårbarheter är bara halva jobbet. Den verkliga utmaningen är att prioritera rätt. Vi använder en kombinerad metodik baserad på CVSS v4.0 och kontextuell riskbedömning som tar hänsyn till:
- Exploaterbarhet – hur lätt är sårbarheten att utnyttja i praktiken?
- Påverkan – vad händer om sårbarheten exploateras? Dataintrång, driftstopp, fysisk skada?
- Exponering – är enheten internetexponerad eller isolerad bakom brandvägg?
- Affärskritikalitet – är det en temperatursensor i ett konferensrum eller ett medicinskt implantat?
En sårbarhet med CVSS-poäng 7.5 på en isolerad sensor kan vara lägre prioritet än en sårbarhet med poäng 5.0 på en internetexponerad enhet i kritisk infrastruktur. Kontext avgör.
Regulatoriska krav som driver testning
NIS2-direktivet
NIS2, som trädde i kraft i EU:s medlemsstater under 2024–2025, ställer krav på att organisationer inom väsentliga och viktiga sektorer genomför regelbunden säkerhetstestning. IoT-enheter i sjukvård, energi, transport och vattenförsörjning faller direkt under dessa krav. Artikel 21 specificerar att riskanalys och säkerhetsåtgärder ska vara proportionella – men för uppkopplade enheter i kritisk infrastruktur innebär det i praktiken krav på penetrationstestning.
Cyber Resilience Act (CRA)
CRA, som börjar tillämpas stegvis från 2026, ställer krav på tillverkare av produkter med digitala element. Det innebär att IoT-enheter som säljs på EU-marknaden måste uppfylla grundläggande säkerhetskrav – inklusive sårbarhetsbedömning – redan innan de släpps. För organisationer som köper och driftar IoT-enheter ger CRA ett ramverk för att ställa krav på leverantörer.
ETSI EN 303 645
Denna europeiska standard specificerar grundläggande säkerhetskrav för konsument-IoT-enheter och fungerar som en konkret checklista vid penetrationstestning: inga standardlösenord, säkra uppdateringsmekanismer, krypterad kommunikation, minimal exponerad attackyta.
Verktygskedja för IoT-pentestning
| Fas | Verktyg | Syfte |
|---|---|---|
| Rekognosering | Nmap, Shodan, Censys | Enhetsidentifiering och portskanning |
| Firmware | Binwalk, Ghidra, Firmwalker | Extraktion, dekompilering, credential-sökning |
| Hårdvara | JTAGulator, Bus Pirate, Saleae Logic | Debug-port-identifiering, bussanalys |
| Trådlöst | Ubertooth, Killerbee, HackRF | BLE-, Zigbee- och RF-analys |
| Nätverk/API | Burp Suite, OWASP ZAP, Wireshark | Trafikanalys, API-testning |
| MQTT | MQTT Explorer, mosquitto_sub | Broker-analys, topic enumeration |
| Rapportering | Dradis, custom templates | Strukturerad sårbarhetsrapportering |
Vad vi faktiskt hittar i produktion
Från Opsios SOC/NOC-erfarenhet med kunder som kör IoT-enheter i produktion – framför allt inom fastighetsautomation, sjukvård och logistik – ser vi återkommande mönster:
Standardlösenord som aldrig bytts. Det mest grundläggande, och fortfarande det vanligaste. Admin/admin, root/root, eller tillverkarspecifika standardlösenord som finns dokumenterade på internet.
Okrypterad MQTT-kommunikation. Sensordata som skickas i klartext – inklusive positionsdata, hälsodata och driftparametrar – till brokers utan TLS.
Avsaknad av nätverkssegmentering. IoT-enheter på samma VLAN som arbetsbelastningar med känslig data. En komprometterad kamera blir en brygga in i hela nätverket.
Firmware som inte kan uppdateras. Enheter utan OTA-kapacitet eller med brutna uppdateringsmekanismer, som kör firmware med kända sårbarheter.
Överdimensionerade molnbehörigheter. IoT-enhetens service account i AWS eller Azure har IAM-rättigheter långt utöver vad enheten behöver.
Åtgärder efter testet
Ett penetrationstest utan åtgärdsplan är bara ett dyrt dokument. Så här strukturerar vi uppföljningen:
1. Omedelbar remediering (0–48 timmar) – kritiska sårbarheter med aktiv exploateringsmöjlighet: hårdkodade credentials, öppna debug-portar på internetexponerade enheter
2. Kortsiktig åtgärd (1–4 veckor) – nätverkssegmentering, krypteringsaktivering, behörighetsreduktion
3. Medellång sikt (1–3 månader) – firmware-uppgradering, implementation av övervakningsregler i SOC, leverantörsdialog om säkerhetsbrister
4. Långsiktig strategi – inköpspolicy som kräver ETSI EN 303 645-compliance, automatiserad IoT-inventering, integration av IoT-enheter i befintliga SIEM-plattformar
Vanliga frågor
Vad skiljer IoT-penetrationstest från vanlig pentestning?
IoT-test omfattar betydligt fler attackytor: firmware, hårdvara, trådlösa protokoll (Zigbee, BLE, LoRa), molnbackend och API:er – utöver traditionell nätverks- och applikationstestning. Enheterna har dessutom ofta begränsade resurser, saknar patchmöjligheter och kör proprietära protokoll, vilket kräver specialiserade verktyg och metodik.
Vilka verktyg används vid IoT-penetrationstest?
Vanliga verktyg inkluderar Nmap och Shodan för rekognosering, Binwalk och Ghidra för firmware-analys, Burp Suite för API-testning, samt Ubertooth och Killerbee för Bluetooth- och Zigbee-analys. Ofta krävs också fysisk utrustning som JTAG/UART-adaptrar och logikanalysatorer.
Måste vi penetrationstesta våra IoT-enheter enligt NIS2?
NIS2-direktivet kräver att organisationer inom väsentliga och viktiga sektorer vidtar proportionella tekniska åtgärder, inklusive regelbunden säkerhetstestning. Penetrationstest av IoT-enheter i kritisk infrastruktur – exempelvis inom sjukvård, energi eller transport – faller tydligt under dessa krav.
Hur ofta bör IoT-enheter penetrationstestas?
Minst årligen, men även efter varje större firmware-uppdatering, nätverksförändring eller ny hotbild. Enheter i kritisk infrastruktur bör testas oftare – kvartalsvis eller vid varje change window. Automatiserad sårbarhetsskanning kompletterar men ersätter inte manuell pentestning.
Vad kostar ett IoT-penetrationstest?
Kostnaden varierar kraftigt beroende på antal enheter, komplexitet och testdjup. En enstaka enhetstyp med firmware-analys kan starta runt 80 000–150 000 SEK, medan en komplett bedömning av en IoT-miljö med flera enhetstyper, molnbackend och protokollanalys ofta landar på 300 000–600 000 SEK.
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
