Coś zostało w pamięci sprzedanego gadżetu IoT? Niekoniecznie z winy pierwszego użytkownika

Jak podkreślono w tegorocznym badaniu, spośród 159 używanych dysków zakupionych w serwisie eBay prawie połowa nadal ma wrażliwe dane. W telefonach, które nie zostały zaszyfrowane i nie zostały zresetowane do wartości domyślnych przed sprzedażą, informacje te mogą obejmować obrazy, wiadomości, poświadczenia lub listy połączeń. O ile jednak istnieją rozwiązania "czyszczące" dla dysków twardych i smartfonów, systemy IoT nie pozwalają na bezpośredni dostęp do danych, a powodzenie przywracania ustawień fabrycznych jest trudne do zweryfikowania. Ponadto brak standardów pozwala producentom na przywrócenie ustawień fabrycznych w sposób, który uznają za odpowiedni.

Zresetowałem do ustawień fabrycznych i wciąż mam dostęp do poufnych informacji

Dennis Giese, doktorant Northeastern University w Bostonie, badał wydajność resetowania do ustawień fabrycznych urządzeń IoT. Zauważył, że pozostawały ślady danych; w niektórych przypadkach mógł uzyskać dostęp do wszystkich danych. Odkrył, że wydajne systemy z większą liczbą funkcji i większą pamięcią zawierają najwięcej danych. Analizując pamięć wewnątrz kilku inteligentnych gadżetów z różnych kategorii, był w stanie wyodrębnić poufne informacje - od dzienników połączeń i identyfikatorów użytkowników po buforowane migawki, filmy, poświadczenia i historię przeglądania. Wszystkie te dane pochodziły z inteligentnych odkurzaczy, odtwarzaczy multimedialnych, routerów, inteligentnych centrów domowych, zabawek i kamer. Zatem, dane nie zawsze zostają na używanych urządzeniach, ponieważ użytkownik nie zresetował urządzenia do ustawień fabrycznych.

Skąd się biorą dane po resecie?

Na tegorocznej konferencji hakerów DEF CON badacz wyjaśnił, że może chodzić o pamięć flash, używaną przez gadżety IoT z powodu funkcji zwanej wyrównywaniem zużycia. Pamięć flash przestaje działać. Aby zapewnić zrównoważony poziom zużycia, zmiana przechowywanych informacji nie jest usuwana. Zamiast tego blok, który go przechowuje, jest oznaczony jako niedostępny, a zmiany są kopiowane do nowego bloku. W pewnym momencie, np. gdy zabraknie miejsca, nieużywane bloki są opróżniane i stają się ponownie użyteczne. Za każdą zmianą danych, są one zapisywane w nowym bloku. Dzięki tej logice w pewnym momencie często zmieniane dane będą miały więcej dostępnych kopii, tworząc historię. Giese podał poświadczenia wi-fi jako przykład, który miałby historię zmian, jeśli często s zmieniane hasła. Oznacza to, że nawet po przywróceniu urządzenia do stanu początkowego istnieje prawdopodobieństwo, że fragmenty danych są nadal obecne.

Nie usuwasz, nie sprzedawaj

Giese stwierdził jednak, że dostępność informacji o używanych urządzeniach inteligentnych zależy głównie od poprzedniego właściciela. Czasami operacji resetu nie można było wykonać, ponieważ gadżet został w jakiś sposób uszkodzony. Np. niektóre urządzenia Amazon Echo Dot z ubiegłego roku miały zepsute złącze USB, a po ich naprawieniu urządzenia stały się w pełni funkcjonalne i miały wszystkie informacje poprzednich właścicieli. Przywrócenie oprogramowania do stanu fabrycznego przed sprzedażą urządzenia IoT jest niezbędne, ale jeśli nie ma sposobu, aby zweryfikować pełne czyszczenie i wiadomo, że są na nim wrażliwe szczegóły, Giese zaleca, aby nie wyrzucać ani nie sprzedawać urządzenia. Na przykład pliki konfiguracyjne Wi-Fi i dzienniki użytkowania mogą być wykorzystane do zlokalizowania właściciela i uzyskania ogólnego wyobrażenia o tym, kiedy jest w domu.

Chociaż wyodrębnianie danych wymaga wiedzy technicznej, ryzyko pozostaje. W ostatnim tweecie haker podzielił zaniepokojony pogląd na temat elektronicznych centrów recyklingu, które przestępcy mogą skonfigurować specjalnie do zbierania danych osobowych i dokumentów z elementów pamięci w połączonych gadżetach.

Jeśli po przeczytaniu nadal chcesz sprzedać urządzenie inteligentne, dobrą praktyką jest również zmiana hasła i nazwy wi-fi. Jeśli z gadżetami jest powiązane konto, dobrym pomysłem byłoby również ustanowienie dla niego nowych danych uwierzytelniających.

Źródło: Bitdefender