像當今大多數(shù)物聯(lián)網(wǎng) (IoT) 設備一樣，亞馬遜的 Echo Dot 為用戶提供了一種恢復出廠設置的方法，因此，正如這家企業(yè)巨頭所說，用戶可以“從適用的設備中刪除任何……個人內(nèi)容” )”，然后再出售或丟棄它們。但研究人員最近發(fā)現(xiàn)，保留在這些重置設備上的數(shù)字位可以重新組合以檢索大量敏感數(shù)據(jù)，包括密碼、位置、身份驗證令牌和其他敏感數(shù)據(jù)。

大多數(shù)物聯(lián)網(wǎng)設備，包括 Echo Dot，都使用基于 NAND 的閃存來存儲數(shù)據(jù)。與傳統(tǒng)硬盤驅(qū)動器一樣，NAND(布爾運算符“ NOT AND ”的縮寫)存儲數(shù)據(jù)位以便以后調(diào)用，但硬盤驅(qū)動器將數(shù)據(jù)寫入磁片，而 NAND 使用硅芯片。NAND 也沒有硬盤驅(qū)動器穩(wěn)定，因為讀取和寫入它會產(chǎn)生位錯誤，必須使用糾錯代碼進行糾正。

(資料圖片)

重置但未擦除

NAND 通常按平面、塊和頁進行組織。這種設計允許有限數(shù)量的擦除周期，通常每個塊大約在 10,000 到 100,000 次之間。為了延長芯片的使用壽命，存儲已刪除數(shù)據(jù)的塊通常會失效而不是擦除。真正的刪除通常只有在塊中的大多數(shù)頁面都無效時才會發(fā)生。這個過程被稱為磨損平衡。

東北大學的研究人員在 16 個月內(nèi)在 eBay 和跳蚤市場上購買了 86 臺二手設備。他們首先檢查了購買的設備，看看哪些設備已恢復出廠設置，哪些尚未恢復出廠設置。他們的第一個驚喜：61% 的人沒有被重置。無需重置，恢復以前所有者的 Wi-Fi 密碼、路由器 MAC 地址、亞馬遜帳戶憑據(jù)以及有關連接設備的信息是一個相對容易的過程。

當研究人員拆開設備并對存儲在其內(nèi)存中的內(nèi)容進行法醫(yī)檢查時，下一個驚喜出現(xiàn)了。

“可以物理訪問此類設備(例如，購買二手設備)的對手可以檢索敏感信息，例如 Wi-Fi 憑據(jù)、(以前的)所有者的物理位置和網(wǎng)絡物理設備(例如，相機、門鎖) ，”研究人員在一篇研究論文中寫道?！拔覀儽砻?，即使在恢復出廠設置后，這些信息，包括所有以前的密碼和令牌，仍會保留在閃存中?！?/p>

使用過的 Echo Dots 和其他亞馬遜設備可能有多種狀態(tài)。一種狀態(tài)是設備仍處于預配置狀態(tài)，因為購買的 Echo Dots 中 61% 是這樣。設備可以在連接到之前所有者的 Wi-Fi 網(wǎng)絡時重置，在與 Wi-Fi 斷開連接時重置，無論是否從所有者的 Alexa 應用程序中刪除設備。

根據(jù) NAND 閃存的類型和先前擁有的設備的狀態(tài)，研究人員使用了幾種不同的技術來提取存儲的數(shù)據(jù)。對于復位設備，有一個稱為芯片關閉的過程，包括拆卸設備和拆焊閃存。然后研究人員使用外部設備訪問和提取閃存內(nèi)容。這種方法需要相當數(shù)量的設備、技能和時間。

一種稱為系統(tǒng)內(nèi)編程的不同過程允許研究人員在不拆焊的情況下訪問閃存。它的工作原理是從印刷電路板上刮掉一些阻焊層，然后將導電針連接到裸露的銅片上，以接入信號走線，將閃光燈連接到 CPU。

研究人員還創(chuàng)造了一種混合芯片關閉方法，可以減少對 PCB 和嵌入式多芯片封裝的損壞和熱應力。這些缺陷會導致 PCB 焊盤短路和破損?；旌霞夹g對RAM使用施主多芯片封裝，并在外部使用原始多芯片封裝的嵌入式多媒體卡部分。對于想要分析物聯(lián)網(wǎng)設備的研究人員來說，這種方法最有趣。

亞歷克薩，我是誰?

除了 86 臺使用過的設備外，研究人員還購買了 6 臺新的 Echo Dot 設備，并在數(shù)周內(nèi)為它們提供了不同地理位置和不同 Wi-Fi 接入點的測試帳戶。研究人員將提供的設備與不同的智能家居和藍牙設備配對。然后，研究人員使用前面描述的技術從這些仍然提供的設備中提取閃存內(nèi)容。

從他們的六個新設備中提取閃存內(nèi)容后，研究人員使用Autospy取證工具搜索嵌入的多媒體卡圖像。研究人員手動分析了 NAND 轉(zhuǎn)儲。他們多次找到亞馬遜賬戶所有者的姓名，以及wpa_supplicant.conf 文件的完整內(nèi)容，該文件存儲了設備之前連接的網(wǎng)絡列表以及他們使用的加密密鑰?；謴偷娜罩疚募€提供了大量個人信息。

因為研究人員自己配置了設備，所以他們知道設備存儲了哪些類型的信息。他們使用這些知識創(chuàng)建了一個關鍵字列表，以在四類中定位特定類型的數(shù)據(jù)：有者的信息、Wi-Fi 相關數(shù)據(jù)、對設備的信息和地理信息。了解設備上的數(shù)據(jù)類型可能會有所幫助，但這對于執(zhí)行攻擊來說不是必需的。

在轉(zhuǎn)儲和分析恢復的數(shù)據(jù)后，研究人員重新組裝了這些設備。研究人員寫道：

我們的假設是，當設備連接到不同的位置和具有不同 MAC 地址的 Wi-Fi 接入點時，設備不需要額外的設置。我們確認設備連接成功，我們可以向設備發(fā)出語音命令。當被問到“Alexa，我是誰?”時，該設備將返回前任所有者的姓名。重新連接到被欺騙的接入點并沒有在 Alexa 應用程序中產(chǎn)生通知，也沒有通過電子郵件發(fā)出通知。這些請求記錄在 Alexa 應用程序的“活動”下，但可以通過語音命令刪除它們。我們能夠控制智能家居設備、查詢包裹交付日期、創(chuàng)建訂單、獲取音樂列表并使用“插入”功能。如果日歷或聯(lián)系人列表鏈接到亞馬遜帳戶，也可以訪問它。功能的確切數(shù)量取決于前任所有者使用的功能和技能。在恢復出廠設置之前和之后，使用 Chip-Off 方法從我們提供的設備中提取原始 NAND 閃存。此外，我們使用 eMMC 接口創(chuàng)建了一個轉(zhuǎn)儲。為了在結(jié)果轉(zhuǎn)儲中查找信息，我們必須開發(fā)一種方法來識別有趣的信息。

撰寫該論文的東北大學研究人員之一丹尼斯·吉斯 (Dennis Giese) 在一封電子郵件中詳細介紹了攻擊場景，他寫道：

其中一個查詢是“Alexa，我是誰”，設備會告訴主人的名字。前所有者使用的所有服務都可以訪問。例如，您可以通過 Echo 管理您的日歷。此外，當包裹即將到達時，Echo 會收到通知，或者您可以使用 Drop-In 功能(例如，與您的另一個 Echo 交談)。如果有人不使用任何智能家居設備，那么您顯然無法控制它們。一件特別的事情是門鎖，默認情況下，Alexa 只允許您鎖定它們。用戶需要手動允許 Alexa 啟用解鎖功能……據(jù)我們所知，這只能通過應用程序運行。因此，如果用戶未啟用該功能，您將無法開門。

讀茶葉

雖然 Echo Dot 不會通過語音命令提供前主人的地址，但研究人員能夠通過詢問附近餐館、雜貨店和公共圖書館的問題來找到大致位置。在一些實驗中，位置精確到 150 米。在某些情況下——比如當設備用戶有多個 Wi-Fi 路由器或鄰居的 SSID 名稱被存儲時——研究人員可以使用谷歌本地化 API，它仍然更精確。

當 Echo Dots 被重置時，數(shù)據(jù)提取需要更加復雜。如果在設備與所有者的 Wi-Fi 網(wǎng)絡斷開連接并且用戶沒有從他們的 Alexa 應用程序中刪除設備時完成了重置，則恢復的數(shù)據(jù)包括連接到關聯(lián)亞馬遜帳戶所需的身份驗證令牌。從那里，研究人員可以用非重置設備做同樣的事情，如前所述。

當設備在連接到 Wi-Fi 網(wǎng)絡時重置或已從 Alexa 應用程序中刪除時，研究人員無法再訪問關聯(lián)的亞馬遜帳戶，但在大多數(shù)情況下，他們?nèi)匀豢梢垣@得 Wi-Fi SSID 名稱和密碼以及 MAC 地址連接的路由器。通過這兩條信息，通?？梢允褂肳igle等搜索網(wǎng)站了解設備的大致位置。

Giese 這樣總結(jié)結(jié)果：

如果設備尚未重置(在 61% 的情況下)，那么它非常簡單：您移除底部的橡膠，移除 4 個螺絲，移除主體，擰下 PCB，移除屏蔽并連接針頭。然后，您可以使用標準 eMMC/SD 卡讀卡器在 5 分鐘內(nèi)轉(zhuǎn)儲設備。得到所有東西后，您重新組裝設備(從技術上講，您不需要重新組裝它，因為它會按原樣工作)并創(chuàng)建自己的假 Wi-Fi 接入點。之后您可以直接與 Alexa 聊天。

如果設備已重置，它會變得更加棘手，并且會涉及一些焊接。您至少會使用 MAC 地址獲得 Wi-Fi 憑證和可能的 Wi-Fi 位置。在極少數(shù)情況下，您或許可以將其連接到 Amazon 云和前任所有者的帳戶。但這取決于重置的情況。

如果研究人員透露有關所有者的個人信息，則出于道德考慮，他們無法進行實驗。研究人員能夠進行的實驗結(jié)果與他們的六臺設備的結(jié)果一致，并且沒有理由相信它們的行為方式不同。這意味著他們購買的 61% 的二手設備擁有大量有關前任所有者的個人信息，對于那些手段不高的人來說，這些信息很容易提取。

研究人員還開發(fā)了一種隱私保護方案，以指示設備何時仍存儲此信息。研究人員沒有保存或使用任何數(shù)據(jù)來證明額外的攻擊，他們也沒有在他們獲得的另外六臺亞馬遜認證的翻新設備上找到任何個人數(shù)據(jù)。

減輕隱私災難

研究人員提出了幾種方法來更好地保護數(shù)據(jù)不被使用過的設備提取。他們說，最有效的方法是加密用戶數(shù)據(jù)分區(qū)。這種緩解措施將解決多個問題。

首先，對已配置設備的物理攻擊無法再以簡單的方式提取用戶數(shù)據(jù)和憑據(jù)，因為數(shù)據(jù)轉(zhuǎn)儲僅包含加密信息，攻擊者需要首先檢索相應密鑰。即使無法或無法執(zhí)行重置，這也會保護用戶憑據(jù)。其次，由于所有塊都加密存儲，因此磨損均衡的大多數(shù)問題都得到了緩解。這種塊的識別和重新組裝變得非常困難。此外，在我們看來，正確識別和重建已刪除密鑰的痕跡是不可能或不太可能的。

研究人員認為，該解決方案可以在固件更新中實施，并且不會降低大多數(shù)設備的性能。沒有足夠計算能力的設備仍然可以加密 Wi-Fi 密碼、身份驗證令牌和其他數(shù)據(jù)。這種替代方法不如加密整個用戶分區(qū)有效，但它仍然會使數(shù)據(jù)提取更加困難且成本更高。

研究論文的合著者 Guevara Noubir 在一封電子郵件中說，加密用戶數(shù)據(jù)分區(qū)或其中的敏感數(shù)據(jù)需要一些便利來保護加密密鑰而不影響可用性。對于智能手機，加密密鑰受 PIN 或密碼保護。但是，像 Echo Dot 這樣的物聯(lián)網(wǎng)設備有望在沒有用戶交互的情況下重新啟動后工作。存在技術解決方案，但它們需要一定程度的設計和實施工作。

亞馬遜回應(有點)

當被問及亞馬遜是否了解調(diào)查結(jié)果或不同意調(diào)查結(jié)果時，公司發(fā)言人寫道：“我們設備的安全性是重中之重。我們建議客戶在轉(zhuǎn)售、回收或處置設備之前取消注冊并恢復出廠設置。無法訪問亞馬遜帳戶密碼或支付卡信息，因為這些數(shù)據(jù)未存儲在設備上?！?/p>

在背景方面，她還指出了研究人員已經(jīng)提出的觀點，特別是：

該公司正在研究緩解措施

攻擊要求攻擊者實際擁有設備并接受專門培訓

對于在連接到 Internet 時成功重置的設備，內(nèi)存中剩余的信息不會讓攻擊者訪問用戶的 Amazon 帳戶

亞馬遜會擦除通過亞馬遜以舊換新或退貨提供的設備上剩余的任何數(shù)據(jù)

研究中展示的威脅很可能適用于 Fire TV、Fire Tablets 和其他亞馬遜設備，盡管研究人員沒有對它們進行測試。結(jié)果也可能適用于許多其他不加密用戶數(shù)據(jù)的基于 NAND 的設備，包括 Google Home Mini。

Giese 說，他相信亞馬遜正在研究如何更好地保護其制造的設備上的數(shù)據(jù)。在那之前，那些不再使用其設備的真正偏執(zhí)的用戶別無選擇，只能物理破壞內(nèi)部的 NAND 芯片。對于其余部分，重要的是在設備連接到配置它的 Wi-Fi 接入點時執(zhí)行恢復出廠設置。

Giese 說重置并不總是按預期工作，部分原因是很難區(qū)分 Wi-Fi 密碼重置(按重置 15 秒)和出廠重置(按重置至少 25 秒)。他建議所有者驗證設備是否已重置。對于 Echos，用戶可以通過重啟設備并查看它是否連接到 Internet 或進入設置模式來完成此操作。所有者還應仔細檢查該設備是否不再出現(xiàn)在 Alexa 應用程序中。

“雖然重置仍然會留下數(shù)據(jù)，但您更難提取信息(芯片關閉方法)并使設備對您的亞馬遜帳戶的訪問無效，”他說?！耙话銇碚f，對于所有物聯(lián)網(wǎng)設備，重新考慮轉(zhuǎn)售它是否真的值得是一個好主意。但顯然，這對環(huán)境來說可能不是最好的事情?！?/p>

關鍵詞：