Les chercheurs ont découvert que réinitialiser votre appareil IoT avant de le revendre n’est pas suffisant

Illustration pour un article intitulé Réinitialiser votre appareil IoT avant de le revendre n'est pas suffisant, les chercheurs le découvrent

photo: Chanson de Victoria / Gizmodo

À mesure que les appareils IoT comme Amazon Echo deviennent de plus en plus populaires, il n’est pas rare que les utilisateurs les revendent. En effet, il est de plus en plus courant d’en trouver sur eBay Ou même un vide-grenier occasionnel. Amazone suggests that, when users are done with a product, they factory reset the device so as to erase any personal information stored within it before sending it back out into the world.

However, it would appear that simply resetting your device won’t actually expunge that data from the face of the Earth and that reselling your device could hypothetically lead to your old information getting boosted.

Chercheurs Avec la Northeastern University, il a récemment passé 16 mois à acheter et à rétro-concevoir 86 appareils Amazon Echo Dot dans le but de comprendre les failles de sécurité qu’ils pourraient avoir.

Après s’être fait prendre par eBay et les marchés aux puces, l’équipe académique a entrepris de démonter les appareils et de trier leurs composants, dans le but de comprendre comment ils fonctionnaient.

Leur première découverte était peut-être la plus surprenante : l’étude indique que la majorité des utilisateurs d’Echo qui ont revendu leurs appareils n’ont même pas envisagé une réinitialisation d’usine. Ainsi, la majorité de leurs anciennes données étaient toujours suspendues à l’appareil et les chercheurs pouvaient facilement accéder à des éléments tels que les informations wifi du propriétaire précédent, les informations d’identification du compte Amazon et les adresses MAC du routeur.

Cependant, ceux qui ont réinitialisé leurs appareils n’ont pas complètement effacé le menu comme ils le pensaient. Les chercheurs ont découvert que, contrairement à ce que dit Amazon, vous pouvez en fait récupérer de nombreuses données personnelles sensibles stockées sur des appareils de réinitialisation d’usine. Cela est dû à la façon dont ces appareils stockent les fichiers Informations utilisant la mémoire flash NAND – un support de stockage qui ne supprime pas réellement les données lorsque l’appareil est réinitialisé, en raison de certaines opérations.

« Nous montrons que les informations privées, y compris tous les mots de passe et codes précédents, restent dans la mémoire flash, même après une réinitialisation d’usine. Cela est dû aux algorithmes de nivellement de l’usure de la mémoire flash et à un manque de cryptage », ont écrit les chercheurs. exemple, l’achat d’un appareil d’occasion) récupérer des informations sensibles telles que les informations d’identification Wi-Fi, l’emplacement physique des (anciens) propriétaires et les appareils électroniques physiques (tels que les caméras et les serrures de porte). « 

Les fouineurs virtuels devront certainement savoir ce qu’ils font – et voler leurs données nécessitera une certaine expérience. Les chercheurs eux-mêmes ont dû démonter complètement l’appareil, puis décompiler la mémoire flash, avant d’utiliser plus tard un autre appareil pour extraire le contenu de la flash. Les chercheurs ont ajouté que l’ensemble du processus prend environ 20 à 30 minutes si vous savez ce que vous faites.

En réponse à notre demande de commentaires, Amazon a fourni la déclaration suivante :

« La sécurité de nos appareils est une priorité absolue. Nous apprécions le travail des chercheurs indépendants qui nous aident à attirer notre attention sur les problèmes potentiels, et travaillons sur des mesures d’atténuation supplémentaires pour sécuriser davantage nos appareils. Nous recommandons aux clients de désinscrire et de réinitialiser leurs appareils avant ils sont revendus, recyclés ou éliminés. » Les mots de passe de compte Amazon ou les informations de carte de paiement ne peuvent pas être récupérés de la mémoire, car ces données ne sont pas stockées sur l’appareil.

Ah d’accord.

Bien que la possibilité qu’un professionnel de la sécurité qualifié détourne vos informations personnelles via votre ancien appareil Echo puisse sembler farfelue, cibler les individus comme première étape pour s’introduire Un réseau plus large est très courant.

Cependant, même si ce n’est pas un moyen très probable pour vous de voler vos données, c’est un exemple de la façon dont ces appareils – qui collectent des profils aussi intimes sur leurs utilisateurs – ne sont pas des coffres-forts complètement fortifiés. Les données sont toujours là et la bonne personne avec les bonnes connaissances peut y accéder sans gros frais.

READ  PlayStation vient peut-être de confirmer par erreur la rétrocompatibilité PS3 sur PS5

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *