Geheugen Echo-speakers bevat ook na reset nog wachtwoorden

Onderzoekers van de Northeastern University hebben ontdekt dat de Amazon Echo Dot-speakers zelfs na een reset nog wachtwoorden kunnen bevatten. Dat blijkt uit een onderzoek naar tweedehands verkregen Echo-speakers.

In een onderzoeksverslag beschrijven de onderzoekers hoe ze 86 Amazon Echo Dot-speakers hebben onderzocht. Om de data uit het nand-flashgeheugen te kunnen lezen, moest het geheugen uit de speaker worden verwijderd. Het geheugen werd dan met een ander apparaat uitgelezen. Op die manier konden onderzoekers informatie over het wifi-netwerk van de vorige eigenaar achterhalen, alsook wachtwoorden, naam en accountgegevens.

Volgens de onderzoekers komt dit omdat de data niet wordt gewist, maar onleesbaar wordt gemaakt voor de speaker. Wanneer het geheugen vervolgens wordt gedemonteerd en uitgelezen met een extern apparaat, is de data wel toegankelijk.

Dit geldt voor Echo-speakers die worden gereset als ze worden weggedaan door de eigenaar, maar dat gebeurt lang niet altijd. 61 procent van de onderzochte apparaten was niet gereset door de eigenaar voor deze werd verkocht. Hierdoor konden de onderzoekers bij gevoelige data, zonder dat ze het geheugen hoefden te demonteren van de pcb.

De onderzoeker probeerde ook het adres te achterhalen op tweedehands speakers door middel van stemcommando's, maar dat bleek niet mogelijk. Wel konden ze een aardig idee krijgen waar de speaker eerder had gestaan, door te vragen naar locaties in de buurt zoals supermarkten en restaurants.

Volgens de onderzoekers is dit probleem eenvoudig te verhelpen. De partitie met gebruikersdata zou kunnen worden versleuteld, wat het veel moeilijker maakt om toegang te krijgen tot gevoelige gegevens.

Reacties (34)

The_ Mad_Ping 2 juli 2021 18:53

De Amazon Echo is niet het enige apparaat dat hier moeite mee heeft.
Xiaomi Heeft hier met veel van zijn "IOT" oplossingen ook last van.
zie : https://flamingo-tech.nl/...eering-part-3-esp32-dump/
Mijn vermoeden is dat door tijdsdruk tijdens het ontwikkelen van dergelijke producten er weinig aandacht wordt besteed aan dit soort problemen. Of dat ze dit pas fixen nadat er zo snel mogelijk een product op de markt is gebracht.
Ik doe voor mijn werk regelmatig vergelijkbare onderzoeken en het blijft vreemd hoe slecht emedded devices beveiligd zijn...

geekeep @The_ Mad_Ping • 2 juli 2021 19:02

Ga er maar vanuit dat dit in iedere softwaretak voorkomt. Security is vrijwel nooit belangrijk genoeg om resources aan te besteden en is een ondergeschoven kindje qua budget. Zolang een bepaalde mate van softwareveiligheid niet wordt afgedwongen in wetten of standaarden, zie ik dit ook niet zo snel veranderen.

Gwaihir @geekeep • 2 juli 2021 19:08

Tja, de 'oplossing' voor de fabrikanten is (anders) simpel: ze raden je gewoon af 'm na gebruik door te verkopen.

sypie @Gwaihir • 2 juli 2021 20:15

Ja, dat de fabrikant niet wil dat je 'm doorverkoopt is alleen maar eigenbelang, heeft niks met jouw dataveiligheid te maken.

JayPe @sypie • 2 juli 2021 21:41

Blijkbaar heb je 't niet helemaal aan het juiste eind: Oók voor jouw dataveiligheid zou 't (in dit geval) dus beter zijn om het apparaat niet te verkopen.

_Pussycat_ @sypie • 4 juli 2021 12:58

Verdient Amazon wel aan de speakers? Ik denk dat ze ze goedkoop willen maken om een vaste plaats in de huiskamer te krijgen, zodat het logisch zou zijn om rond de kostprijs te verkopen. Maar ik kan het mis hebben.

Advanced03 @Gwaihir • 3 juli 2021 00:17

Win-Win voor de fabrikant in ieder geval, zij besparen kosten en verdienen meer.

Jerie

@The_ Mad_Ping • 9 juli 2021 13:17

Yep, meer apparaten hebben hier last van. Je kunt overwegen IoT apparaten te vernietigen ipv verkopen.

Ik heb v2 van deze air purifier voor iemand gekocht, en die hangt niet aan het internet. Ding heeft een automatisch mode. Wat je kunt doen met dit soort IoT is het laten tetheren met je smartphone WLAN hotspot. Die zet je vervolgens altijd uit, tenzij je firmware wilt updaten.

Voordeel 1: Ze kunnen bijna nooit 'praten'.

Voordeel 2: Het wachtwoord is de hotspot van je smartphone, en die staat bijna altijd uit, en locatie is dynamisch (staat niet op Wigle ed).

Het is beter om iedere keer na gebruik van hotspot het wachtwoord te veranderen (op je smartphone) maar dat is veel werk. Af en toe zou voldoende moeten zijn, desnoods enkel na verkoop IoT device.

Dennisb1 2 juli 2021 20:22

Ook Mikrotik heeft hier last van….
Alle user space info zoals configuraties e.d. worden niet gewist bij een factory Reset.

Nog sterker. De laatste config wordt nog eens extra in de user space opgeslagen als backup als je een Reset doet.

Alles is plain tekst uit te lezen qua wachtwoorden vervolgens uit alle data die daar nog staat.

[Reactie gewijzigd door Dennisb1 op 1 augustus 2024 08:49]

Verwijderd @Dennisb1 • 3 juli 2021 00:26

Dit staat heel duidelijk vermeld bij als je een reset uitvoert en is duidelijk een feature ipv een bug... Sterker nog, volgens is het een optie die je ook uit kan zetten. Je bent een consumenten product nu aan het vergelijken met enterprise spul, appels en peren dus.

Ontopic:
Ik denk dat lang niet altijd in de documentatie of tijdens de installatie word vermeld. Of iets van een slimme controle die een reset voorstelt als veel omgevingsfactoren zoals WiFi netwerken in de buurt zijn veranderd.

Dennisb1 @Verwijderd • 3 juli 2021 10:12

https://wiki.mikrotik.com/wiki/Manual:Reset

Sorry, maar ik zie het nergens staan

Ook via de web interface wordt er met geen woord over gesproken als je de functie aanroept.

[Reactie gewijzigd door Dennisb1 op 1 augustus 2024 08:49]

Verwijderd @Dennisb1 • 3 juli 2021 21:16

Alstu

https://ibb.co/0Xk6pfx

scholtnp 2 juli 2021 19:57

De fabrikant kan dit gemakkelijk voorkomen door de gebruikerspartitie te versleutelen.
De gebruiker kan zijn gegevens laten overschrijven door nieuwe gegevens, door hem weer een tijdje aan te laten staan na een factory reset. Bij meer dan 4 gigabyte aan re-writes is vrijwel 100% gewist volgens het artikel (maar het blijft slordig natuurlijk).

[Reactie gewijzigd door scholtnp op 1 augustus 2024 08:49]

kodak

Networking en security

@scholtnp • 2 juli 2021 20:25

Het is meer dan slordig. Als een gebruiker afhankelijk is van slecht ontworpen beveiliging dan gaat de fabrikant niet goed om met de belangen van de gebruikers. Blijkbaar vinden ze het niet zo belangrijk dat persoonsgegevens of gegevens die daar toegang toe geven voldoende te beveiligen. Dat zegt ook wel wat hoe ze over klanten denken en mogelijk zelfs hoe het bedrijf weinig waarde aan belangrijke gegevens hecht.

OxWax 3 juli 2021 00:33

Volgens de onderzoekers komt dit omdat de data niet wordt gewist, maar onleesbaar wordt gemaakt voor de speaker. ....zoals bij elke harde schijf , SSD die standaard gewist wordt?

Accretion @OxWax • 3 juli 2021 02:12

Ze trekken aan het verkeerde eind?

De data had versleuteld moeten zijn en ook die sleutel verwijderd moeten worden met het account.

Bij bijna alle storage worden inderdaad de bits niet daadwerkelijk overschreven, maar wordt enkel de referentie weggepleurt.

mutley69 2 juli 2021 21:24

Die amazon hardware is gewoon spionerende rommel - u financiert de ondergang van uw eigen privacy!

batjes

Networking en security

@mutley69 • 3 juli 2021 09:48

De meeste smartphones ook, 'slimme' deurbellen, babyfoons.. Bijna al die IoT apparaten zijn spyware. Hoeft niet eens bedoelt te zijn als spyware, maar door de enorm brakke security wandelen hackers zo je huis binnen. Maar als je eens kijkt welke bedrijven hier voornamelijk mee bezig zijn, verontrustende ontwikkeling.

Het is al een ding sinds webcams en microfoons, die je vroeger appeltje-eitje kon vinden met bepaalde Google zoekopdrachten. Ondertussen hebben veel huishoudens tig van die brakke internet connected apparaten in huis staan.

Mij niet gezien. Ik vertrouw geen hardware die ik zelf niet onder controle heb.

RAAF12 @batjes • 4 juli 2021 03:31

Ik ken iemand die zijn microfoon en camera fysiek heeft ontkoppeld in de laptop. Maar bij een telefoontje is dat wat lastiger cq. onwenselijk. Hoe ga je daar dan mee om?

batjes

Networking en security

@RAAF12 • 4 juli 2021 10:57

Ik zie dat redelijk wat mensen de camera afplakken. Zou ik ook doen als ik mijn toestel niet kon rooten en er geen custom rom overheen kon zetten. Met ADB, Magisk en andere tools heb je best veel controle over Android.

Ik heb geen software van Moto op mijn toestel staan, helaas wel de drivers en Lenovo is niet de meest betrouwbare partij. Via Blokada kan je al best goed veel dubieus verkeer al tegenhouden. Geen Google apps buiten de broodnodige opengapps-nano. Alle systemapps zijn opensource en komen uit F-Droid, dus er wordt ook nergens wat gesynced. Ook iets simpels als een bandbreedtemeter in je notificatiestreepje helpt al veel dat ik niet op rare momenten als ik er niets mee doe veel verkeer zie. Alle rechten staan overal ook default op deny, het is met Opengapps gelukt om alle niet benodigde rechten voor de PlayStore te ontnemen zonder deze onbruikbaar te maken.

Ik gebruik mijn telefoon niet zo heel veel, gebruik eigenlijk maar een handjevol apps, doe zo veel mogelijk via de browser en heb ook zo'n hoesje die het toestel compleet inpakt, waardoor het meekijken of luisteren e.d. al wat lastiger is als ik de telefoon toch niet gebruik.

Android heeft het sterke voordeel dat je op goede toestellen grotendeels baas bent over de telefoon, niet zo goed of makkelijk zoals op Windows of Linux. Maar good enough. 100% zekerheid heb je helaas nooit, ik heb mijn best gedaan daar wel zo dicht mogelijk bij te komen zonder dat de telefoon in de maatschappij praktisch onbruikbaar is.

DeArmeStudent 3 juli 2021 11:19

Volgens mij slaat Google ook wifi wachtwoorden op. Ik hoefde moet een geresette telefoon niet opnieuw mijn wifiwachtwoorden in te vullen.

Caelestis @DeArmeStudent • 3 juli 2021 12:09

Ja google slaat je wachtwoorden op en als je de "backup data" optie aan hebt staan in je telefoon wordt het samen met de rest in de cloud opgeslagen.
Het wachtwoord bestand wordt opgeslagen als een system bestand en samen met de rest encrypted wat root toegang vereist om uit te lezen.
De encryption key is in beheer bij google dus je kan er zelf ook niet bij. (Google zelf wel als ze willen)
Even simpel het opslag uitlezen zoals de onderzoekers hebben gedaan is niet mogelijk.

RAAF12 @Caelestis • 4 juli 2021 03:35

Cloud is een server :-) en die kan je bekijken https://drive.google.com/drive/backups

Opslagruimte kiezen en dan rechtsboven backups daar staan je Android en Whtsapp backups!

Caelestis @RAAF12 • 4 juli 2021 06:41

Aangezien we toch lollig aan het doen zijn nee een Cloud is niet een Server. Een Cloud is een stack van meerdere VM's in een raid configuratie verspreid over meerdere servers en vaak zelfs meerdere fysieke locaties.

Als jij het voor elkaar krijgt om je wifi wachtwoord in je google drive backup uit te lezen dan praten we wel weer verder.

GewoonWatSpulle @Caelestis • 4 juli 2021 07:42

Stack, raid van VM's, meerdere systemen en meerdere fysieke locaties?! Veel cloud providers bieden je gewoon een plekje op een vaste server aan en noemen het ook cloud, cloud is een (marketing) begrip geen specificatie.

Ik heb thuis ook een cloud opstelling en dat vrijwel volledig offline!

Edit: lees ook hier cloud computing

[Reactie gewijzigd door GewoonWatSpulle op 1 augustus 2024 08:49]

Caelestis @GewoonWatSpulle • 4 juli 2021 08:22

Voor de eind gebruiker is de noemer "cloud" inderdaad 100% marketing BS. Of het nou een webserver, FTP of Cloud is maakt geen moer uit.
Voor een server admin aan de andere kant is "Cloud" een werkelijke design concept gebaseerd op meerdere VM in een raid verdeeld over meerdere servers en eventueel (geo) locaties. Het draait allemaal om redundacy om wat voor reden dan ook. Fikt het hele data center af? Geen probleem de service is al 100km verderop al in bedrijf.
Zijn er wat HDD's uitgevallen en moet je een rebuild doen? Ah kan tot morgen wachten als je er tijd voor heb want de service is elders allang weer aan het draaien.

Punt is je zegt wel dat een "Cloud" geen specificatie is maar een cloud kan ook nooit op een enkel server draaien dus er zijn blijkbaar toch wel minimum vereiste specs.
Dus ja je "huis" nas is geen cloud hoe mooi de marketing BS ook klinkt.
Het enige wat je met en nas kan doen is linken met een echte online cloud en daar een kopie van lokaal opslaan.

GewoonWatSpulle @Caelestis • 4 juli 2021 13:54

Mijn cloud draait wel degelijk op 1 fysieke machine en eventueel als de nood daar is kan er een 2e en 3e machine ingezet worden om de capaciteit uit te breiden maar dat gebeurd zeer zelden. Overigens is mijn thuis cloud geen plek voor data opslag maar plek voor compute power en losse services, ze hebben enkel een bootschijf omdat ik geen NAS heb voor een netwerk boot.

Caelestis @GewoonWatSpulle • 4 juli 2021 14:01

Daar is niks specials aan. Je kon exact hetzelfde doen voordat er ooit iemand aan kwam met het cloud concept.
Je mist volledig het punt van cloud maar het klinkt wel luxe op je oude bakkie.

GewoonWatSpulle @Caelestis • 4 juli 2021 21:43

Ik kon vroeger aanwijzen op welke server welke software op draaide, nu niet meer (indien 2e of 3e machine meedraaien) en ik kan taken uitzetten die zich mogelijk op 3 machines tegelijk laten uitvoeren. Allemaal dingen die op m'n oude bakkies niet lukte hoor. Cloud of geen cloud het werkt goed voor mij op 1 locatie en meestal op 1 nieuwe (jaar oude) machine.

Caelestis @GewoonWatSpulle • 4 juli 2021 23:02

Het cloud concept is een set van industrie "Best Practices" waarvan bijna elke onderdeel een bestaand techniek is. Elke onderdeel moet samen werken voor 1 geheel en wordt tegenwordig gebruikt als infrastructuur roadmap voor alle nieuwe data centers.
De "Ik heb X server config..." of "loadbalancing blablabla" is compleet irrelevant. Zonder de juiste opzet in zowel hardware als software is een VM server gewoon een VM server. Dat een Cloud voornamelijk bestaat uit VM's zegt niet dat elke VM en cloud is.

[Reactie gewijzigd door Caelestis op 1 augustus 2024 08:49]

GewoonWatSpulle @Caelestis • 5 juli 2021 09:11

Klopt daarom zijn mijn servers ook geen VM hosts maar gewoon losse servers die middels kubernetes hun workloads kunnen verdelen en dat zelfs als er nodes uitstaan en indien nodig zelf een node kan inschakelen en ik zelf nog eventueel mijn eigen desktop kan laten mee draaien, wat mij betreft een prima on-premise cloud, hij is alleen vrijwel ontkoppeld van het internet.

t4600c 2 juli 2021 19:35

Daarom aparte wachwoorden voor junk, entertainment en serieuze zaken zoals werk, router en pornhub.

GewoonWatSpulle @t4600c • 4 juli 2021 07:45

Sowieso unieke wachtwoorden voor alles, maar dat is slecht voor heel weinig mensen haalbaar.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (34)

Sorteer op:

Weergave: