Сброс настроек «умной» колонки Amazon Echo Dot не удаляет все данные

Сброс настроек «умной» колонки Amazon Echo Dot не удаляет все данные

Память устройства сохраняет цифровые данные, включая пароли, локации, токены аутентификации и пр.

Исследователи из Северо-Восточного университета в Бостоне (США) предупредили пользователей «умной» колонки Echo Dot от Amazon о проблеме, связанной с безопасностью конфиденциальных данных. Как обнаружили эксперты, даже после выполнения сброса настроек «умной» колонки до заводских оставляется большое количество цифровых данных, включая пароли, локации, токены аутентификации и пр.

Специалисты приобрели и проанализировали 86 подержанных устройств Echo Dot на eBay и других торговых площадках. Оказалось, что настройки 61% из них не были сброшены до заводских, позволяя злоумышленникам восстановить пароли Wi-Fi предыдущих владельцев, MAC-адреса маршрутизаторов, учетные данные Amazon и информацию о подключенных устройствах. Как стало известно по результатам анализа устройств, данные хранились на флэш-памяти NAND.

Исследователи также купили шесть новых устройств Echo Dot и создали тестовые учетные записи с разными геолокациями и точками доступа Wi-Fi. С помощью инструмента Autospy удалось извлечь содержимое флэш-памяти устройств, включая учетные данные, список сетей, ключ шифрования и личную информацию.

Исследователи предварительно создали список ключевых слов для определения конкретных типов данных в четырех категориях: информация о владельце, данные, связанные с Wi-Fi, информация о сопряженных устройствах и местоположение.

После восстановления данных предыдущих владельцев ученые смогли управлять устройствами умного дома, делать заказы, просматривать списки музыки, календарь и список контактов.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!