Problem Amazon Echo Dot z bezpieczeństwem danych

Z resetem lub bez – bez znaczenia

Wyniki badania zostały opublikowane w pokonferencyjnym artykule naukowym Dennisa Giese’a oraz Guevary Noubira. Nosi on wymowny tytuł Amazon Echo Dot or the Reverberating Secrets of IoT Devices, czyli Rozbrzmiewające sekrety urządzeń internetu rzeczy. Specjaliści od cybersecurity badanie przeprowadzili na 86 używanych głośnikach Echo Dot, zakupionych na eBay’u lub pchlich targach. Dodatkowo kupili też sześć nowych głośników i wprowadzili na nie testowe dane.

Okazało się, że nawet po przywróceniu do ustawień fabrycznych, z urządzeń można, przy pomocy względnie prostych technik, wyciągnąć pewne informacje. Nawiasem mówiąc, 61 procent używanych Amazon Echo Dot nie miało przeprowadzonego nawet najbardziej podstawowego resetu.

Jak dobrać się do danych na Amazon Echo Dot?

Badacze mogli dostać się do wrażliwych informacji po wyjęciu czipa pamięci z Echo Dot. Był on następnie umieszczany w specjalnym urządzeniu do odczytu. Inna metoda, która nie wymagała wyciągania czipa, polegała na użyciu przewodzącej igły. Niezależnie od sposobu, w odczytaniu danych pomagało ogólnodostępne narzędzie śledcze Autospy.

Problem z zawodnością resetu leży w pamięci flash, z której korzysta wiele przenośnych urządzeń IoT. A którą trudniej jest wymazać, gdyż posiada ona skończoną liczbę możliwych kasacji. Gdyby permanentne usuwanie odbywało się regularnie, przestrzeń na dane szybko by się zużyła. Dlatego są one nie tyle kasowane, co unieważniane i przesuwane do nieużywanej części bloku pamięci. Dopiero kiedy blok zapełni się takimi stronami, następuje właściwe czyszczenie.

Co wynika z testu dla użytkowników IoT?

Wyniki testu podważają mocno marketingowe zapewnienia Amazona co do bezpieczeństwa, jakie zapewnia przywrócenie do ustawień fabrycznych. Tymczasem dane, które zainteresowana osoba może wydobyć z Echo Dot, to na przykład hasło do Wi-Fi, adres MAC routera czy login Amazona.

Pocieszeniem mógłby być fakt, że odzyskiwanie pamięci z urządzenia przywróconego do ustawień fabrycznych wymaga umiejętności i odpowiedniego sprzętu. Jednak dla chcącego nic trudnego. A dodatkowe zagrożenie niesie ze sobą to, że po ponownym złożeniu Amazon Echo Dot, inteligentny głośnik będzie pracował w nowej sieci ze starymi danymi. Nie ujawni wprawdzie adresu poprzedniego właściciela, ale odpowiedzi Aleksy na pytania o pobliskie sklepy czy biblioteki, pomoże w ustaleniu lokalizacji.

Giese i Noubira przestrzegają, że podobne ryzyko tyczy się nie tylko Echo Dot, ale i innych inteligentnych urządzeń Amazona. Na przykładów tabletów Fire i Fire TV. Co więcej, niewykluczone, że problem ten dotyczy większej ilości urządzeń IoT, które korzystają z pamięci flash typu NAND.

Pełny artykuł amerykańskich badaczy można przeczytać lub pobrać online.

Przypomnijmy, że kwestia cyberbezpieczeństwa była już w kontekście Amazona podnoszona wcześniej w tym roku przy okazji projektu Sidewalk.

Sprawdżcie też:

Źródło: CPO Magazine