Pretože zariadenia IoT ako Amazon Echo sú čoraz populárnejšie, nie je nič neobvyklé, že ich používatelia ďalej predávajú. V skutočnosti je čoraz bežnejšie nájsť ich na eBay Alebo dokonca príležitostný výpredaj z dvora. Amazon suggests that, when users are done with a product, they factory reset the device so as to erase any personal information stored within it before sending it back out into the world.

However, it would appear that simply resetting your device won’t actually expunge that data from the face of the Earth and that reselling your device could hypothetically lead to your old information getting boosted.

Vedci Na Northeastern University nedávno strávil 16 mesiacov nákupom a reverzným inžinierstvom 86 použitých zariadení Amazon Echo Dot v snahe porozumieť prípadným bezpečnostným chybám, ktoré môžu mať.

Potom, čo sa nechajú chytiť ako eBay a blšie trhy sa akademický tím rozhodol rozobrať zariadenia a vytriediť ich komponenty v snahe pochopiť, ako fungujú.

Ich prvý objav bol možno najprekvapivejším: Štúdia tvrdí, že väčšina používateľov Echo, ktorí predali svoje zariadenia ďalej, ani neuvažovala o obnovení továrenských nastavení. Väčšina ich starých údajov teda stále visela na zariadení a vedci mohli ľahko pristupovať k veciam, ako sú informácie o Wi-Fi predchádzajúceho majiteľa, poverenia účtu Amazon a adresy MAC smerovača.

Avšak tí, ktorí resetovali svoje zariadenia, nevymazali úplne menu tak, ako si mysleli, že ho majú. Vedci zistili, že na rozdiel od toho, čo hovorí Amazon, môžete skutočne obnoviť veľa citlivých osobných údajov uložených v zariadeniach obnovených z výroby. Je to spôsobené tým, ako tieto zariadenia ukladajú súbory Informácie využívajúce pamäť NAND flash – pamäťové médium, ktoré v dôsledku určitých operácií v skutočnosti nevymaže údaje, keď sa zariadenie resetuje.

„Ukazujeme, že súkromné ​​informácie vrátane všetkých predchádzajúcich hesiel a kódov zostávajú v pamäti flash aj po obnovení továrenských nastavení. Je to spôsobené algoritmami vyrovnávania úrovne opotrebenia pamäte flash a nedostatkom šifrovania,“ napísali vedci. Takéto zariadenia (napríklad napríklad nákup použitého zariadenia), načítajte citlivé informácie, ako sú napríklad poverenia Wi-Fi, fyzická poloha (predchádzajúcich) vlastníkov, a fyzické elektronické zariadenia (napríklad kamery a zámky dverí). „

Virtuálni snooperi budú určite musieť vedieť, čo robia – a krádež ich údajov si bude vyžadovať určité skúsenosti. Samotní vedci museli zariadenie úplne rozobrať a potom flash pamäť dekompilovať, aby neskôr na extrahovanie obsahu blesku použili iné zariadenie. Vedci dodali, že celý proces trvá asi 20 až 30 minút, ak viete, čo robíte.

V reakcii na našu žiadosť o komentár spoločnosť Amazon poskytla nasledujúce vyhlásenie:

„Bezpečnosť našich zariadení je najvyššou prioritou. Oceňujeme prácu nezávislých výskumných pracovníkov, ktorí nám pomáhajú upriamiť pozornosť na potenciálne problémy a pracujú na ďalších zmierňovaní, aby sa naše zariadenia ďalej zabezpečili. Zákazníkom odporúčame, aby predtým zrušili registráciu a obnovili továrenské nastavenia sú opäť predané, recyklované alebo zlikvidované. “Heslá účtov Amazon alebo informácie o platobných kartách nie je možné získať z pamäte, pretože tieto údaje nie sú uložené v zariadení.“

OH, v poriadku.

Aj keď sa môže zdať, že možnosť únosu vašich osobných údajov prostredníctvom vášho starého zariadenia Echo, skúseného bezpečnostného profesionála, je zameranie na jednotlivcov ako prvý krok k preniknutiu do Väčšia sieť je veľmi častá.

Avšak aj keď to nie je veľmi pravdepodobný spôsob, ako ukradnúť vaše dáta, je to príklad toho, ako tieto zariadenia – ktoré zhromažďujú také intímne profily svojich používateľov – nie sú úplne obohatené. Údaje stále existujú a správna osoba so správnymi znalosťami k nim má prístup bez akýchkoľvek veľkých výdavkov.