Forscher der Northeastern University haben kürzlich eine Studie zu Amazonas‘s Echo Dot und stellt fest, dass selbst nach einem vollständigen Zurücksetzen auf die Werkseinstellungen einige sensible Benutzerdaten auf dem Gerät verbleiben. Amazon selbst behauptet, dass der beste Weg, ein Gerät für den Weiterverkauf vorzubereiten, darin besteht, es auf die Werkseinstellungen zurückzusetzen. Tatsächlich war dies schon immer die bewährte Technik, um Geräte von persönlichen Daten zu befreien.
IoT-Geräte wie der Echo Dot stehen bei den Benutzerdaten an vorderster Front. Da sie oft verwendet werden, um verschiedene Funktionen eines Smart Homes und gelegentlich sogar Google-Dinge für den Benutzer zu steuern, geben sie ständig Daten weiter. An die Sicherheit dieser Geräte wird nicht oft gedacht, da der Echo Dot keine fortschrittliche Benutzeroberfläche hat, sondern sprachgesteuert mit LED-Feedback ist. Obwohl es wie eine lahme Technologie aussehen mag, hat der Echo Dot Zugriff auf viele persönliche Informationen.
Die Nordöstliche Universität Forscher der das Problem entdeckte, verbrachte über ein Jahr damit, Marktplätze wie eBay und Flohmärkte zu durchsuchen, um diese zum Wiederverkauf angebotenen Geräte zu finden. Alles in allem konnten sie 86 Amazon Echo Dot-Geräte abrufen, mit der einzigen Absicht, sie auseinanderzunehmen und herauszufinden, wie es an Sicherheit mangelt. Das Team fand diese 86 Geräte in mehreren verschiedenen Zuständen, von nie zurückgesetzt oder aus der Cloud gelöscht bis hin zu vollständig zurückgesetzt und die Cloud-Bindung wurde gelöscht. Um einen vollständigen Reset abzuschließen, müsste ein Benutzer nicht nur das Gerät aus der Amazon Alexa-App löschen, sondern auch das Gerät auf die Werkseinstellungen zurücksetzen. Einige Benutzer haben das Gerät zurückgesetzt, aber die Verbindung in der App nicht gelöscht oder umgekehrt.
Nachdem diese Zustände festgelegt und die Geräte entsprechend sortiert wurden, begann das Team mit der Suche nach bestimmten Informationen. Es überrascht nicht, dass die Geräte, deren Besitzer sie nicht richtig zurückgesetzt haben, nach Informationen wie den Wi-Fi-Informationen, der MAC-Adresse und sogar ihren Amazon-Kontoinformationen des Besitzers auseinandergenommen wurden. Dies geschah mit Sprachbefehlen und indirekten Fragen, damit die Forscher Informationen über den Vorbesitzer lokalisieren konnten. Aber auch Geräte, die zurückgesetzt wurden, konnten dem Team personenbezogene Daten zur Verfügung stellen. Der Grund dafür ist, dass das Gerät NAND-Flash verwendet, um einige Informationen zu speichern. Aufgrund der Funktionsweise dieses Speichers bleiben die enthaltenen Informationen beim Zurücksetzen des Geräts zugänglich. “Diese Informationen, einschließlich aller vorherigen Passwörter und Token, bleiben auch nach einem Zurücksetzen auf die Werkseinstellungen im Flash-Speicher erhalten. Dies liegt an den Wear-Leveling-Algorithmen des Flash-Speichers und der fehlenden Verschlüsselung“, sagten die Forscher. In einer Erklärung an Gizmodo, Amazon erklärte: “Es ist nicht möglich, Amazon-Kontopasswörter oder Zahlungskarteninformationen aus dem Speicher abzurufen, da diese Daten nicht auf dem Gerät gespeichert werden stored.“
Die Tatsache, dass diese Informationen technisch vorhanden sind, kann beängstigend sein. Damit auf diese Informationen zugegriffen werden kann, bräuchte man allerdings jemanden, der über ein hohes Maß an Wissen über das Innenleben von IoT-Geräten verfügt. Die Wahrscheinlichkeit, dass dies mit den Informationen des Benutzers passiert, ist gering, aber die Tatsache, dass 61 Prozent der Geräte in der Studie nie zurückgesetzt wurden, ist ein wenig beunruhigend. Benutzer sollten ihren Amazon Echo Dot oder andere IoT-Geräte immer zurücksetzen, auch wenn diese Daten möglicherweise noch zugänglich sind.