Скидання до заводських налаштувань Amazon Echo не означає, що дані зникли

Нещодавно вчені з Північно-Східного університету провели дослідження Amazon's Echo Dot, виявивши, що навіть після повного скидання до заводських налаштувань деякі делікатні користувачі дані залишається на пристрої. Сам Amazon стверджує, що найкращий спосіб підготувати пристрій до перепродажу - це скинути його до заводських налаштувань. Насправді, це завжди була надійна техніка для позбавлення пристроїв від персональних даних.

Пристрої IoT, як-от Echo Dot, знаходяться на першому місці в даних користувача. Так як їх часто використовують для управління різними функціями розумного будинку і навіть Google речі для користувача іноді вони передають дані постійно. Про безпеку цих пристроїв часто замислюються, оскільки Echo Dot не має розширеного інтерфейсу користувача, а керується голосом за допомогою світлодіодного зворотного зв’язку. Однак, хоча Echo Dot може виглядати як марна технологія, Echo Dot має доступ до великої кількості особистої інформації.

Північно-східний університет дослідники який виявив проблему, провів більше року, перебираючи ринки, такі як eBay та блошині ринки, щоб знайти ці пристрої в списку для перепродажу. Загалом, вони змогли отримати 86 пристроїв Amazon Echo Dot з єдиним наміром розібрати їх і з’ясувати, чому не вистачає безпеки. Команда виявила ці 86 пристроїв у кількох різних станах, починаючи від ніколи не скиданих або видалених із хмари до повного скидання, а прив’язка до хмари була видалена. Щоб завершити повне скидання, користувачеві потрібно буде не лише видалити пристрій з

Додаток Amazon Alexa а також скидання пристрою до заводських налаштувань. Деякі користувачі скидають пристрій, але не видаляють з’єднання в програмі або навпаки.

Копання особистих даних

Після встановлення цих станів і відповідного сортування пристроїв команда почала працювати над отриманням певної інформації. Не дивно, що пристрої, власники яких не скинули їх належним чином, були розібрані для такої інформації, як Wi-Fi власника інформація, MAC-адреса і навіть їх акаунт Amazon інформації. Це було зроблено за допомогою голосових команд і непрямих запитань для того, щоб дослідники точно знайшли інформацію про попереднього власника. Однак навіть пристрої, які були скинуті, виявилися здатними надати особисту інформацію команді. Причина цього в тому, що пристрій використовує флеш-пам'ять NAND для зберігання певної інформації. Через характер роботи цієї пам’яті, коли пристрій скидається, інформація, що міститься, залишається доступною. "Така інформація, включаючи всі попередні паролі та токени, залишається у флеш-пам’яті навіть після скидання до заводських налаштувань. Це пов’язано з алгоритмами вирівнювання зносу флеш-пам’яті та відсутністю шифрування», – розповіли дослідники. У заяві до Gizmodo, пояснив Amazon, "Неможливо отримати паролі облікових записів Amazon або інформацію про платіжну картку з пам’яті, оскільки ці дані не зберігаються на пристрої.”

Те, що ця інформація технічно є, може налякати. Однак для того, щоб отримати доступ до цієї інформації, потрібен хтось із високим рівнем знань про внутрішню роботу пристроїв IoT. Шанс, що це станеться з інформацію про користувача він тонкий, але той факт, що 61% пристроїв у дослідженні ніколи не були скинуті, трохи нервує. Користувачі завжди повинні скидати свої Amazon Echo Dot або будь-які інші пристрої IoT, навіть якщо ці дані все ще доступні.

Джерело: ACM DL, Gizmodo

Індіана Джонс 5: Кожна затримка і невдача в фільмі Disney

Про автора