Люди, приобретающие умные устройства с рук, подчас получают больше, чем рассчитывали, когда в памяти гаджета обнаруживаются данные предыдущего владельца. Не всегда это вина прошлого хозяина, личная информация может остаться в памяти устройства Интернета вещей (IOT, сокр. От «Internet of things»), даже если оно было восстановлено до заводских настроек.
Подобная проблема встречается с бывшими в употреблении жесткими дисками. Как подчеркивается в исследовании, проведенном в этом году, больше половины из 159 проданных через Ebay винчестеров содержали данные деликатного характера. Что касается телефонов, которые не подвергались шифрованию и были сброшены до заводских настроек, они могут хранить списки вызовов, изображения с камер, личные сообщения и документы.
IOT-устройства существенно отличаются от привычных компьютеров тем, что не допускают прямого доступа к хранимой в них информации. Это не дает досконально убедиться в том, что все персональные данные были удалены после сброса настроек. К этому можно добавить то, что ввиду отсутствия стандартизации в этой области производители устройств вправе понимать значение процедуры «сброса до заводских настроек» так, как им вздумается.
Студент Бостонского Северозападного Университа, кандидат экономических наук Дэнис Гииз исследовал, на сколько действенна процедура сброса в различных IOT-устройствах. Он пришел к выводу, что после этой процедуры всегда остаются следы данных пользователя, а в некоторых случаях ему удавалось заполучить доступ ко всей информации. Он выяснил, что чем сложнее и функциональнее устройство, тем больше данных оно хранит после того, как его полностью сбросили.
В ходе анализа данных, сохранившихся на нескольких «сброшенных» устройствах, исследователю удалось добыть информацию различного рода — начиная журналом соединений и логинами владельцев, и заканчивая сохраненными в кэш видео, фотографиями и историей интернет-сёрфинга. Эта информация хранится в «умных» пылесосах, медиа плеерах, роутерах, устройствах «Умного дома», игрушках и камерах.
Существуют причины, по которым IOT-устройства хранят данные даже после возврата к заводским настройкам. В частности, во время хакерской конференции этого года DEF CON, (https://dgiese.scripts.mit.edu/talks/DEFCON27-IoT-Village/DEFCON27-IoT-Village_Dennis-Giese-Privacy-leaks-in-smart-devices.pdf) исследователь объяснил, что информация хранится на флэш-накопителях устройств IOT благодаря т.н. функции «выравнивания износа».
Флэш-память со временем изнашивается. Чтобы обеспечить допустимый уровень износа, данные не удаляются при поступлении обновленной информации. Вместо этого, блок памяти, хранящий эти данные, помечается системой как «недоступный», а измененная информация записывается в следующий блок. В какой-то момент, например, когда место на носителе заканчивается, неиспользуемые блоки памяти освобождаются и уже по новой используются для записи.
Каждый раз при поступлении новых данных, данные эти записываются в новую ячейку. По этой логике, начиная с некоторого момента, часто меняющаяся информация будет наращивать историю изменений. Дэнис Гииз привел в пример параметры доступа к сетям WiFi. Когда Вы обновляете пароли доступа, старые пароли сохраняются. Хотя, Гииз показал, что данные предыдущих владельцев остаются доступны главным образом по вине пользователей, которые просто не знали, как сбросить настройки до заводских.
Случается так, что процедура сброса не может быть выполнена из-за того, что устройство имеет какую-либо неисправность. У некоторых из умных колонок Amazon Echo Dot, приобретенных Гиизом в прошлом году, был сломан порт USB. После починки устройства вновь обретали полный функционал и содержали данные предыдущих владельцев.
Сброс до заводских настроек — это лучшее, что можно сделать прежде, чем продать устройство IOT, однако нельзя быть до конца уверенным в том, что Ваших личные данные удалены без возможности восстановления. В случае, когда устройство хранит Ваши ценные или сугубо личные данные, исследователь Дэнис Гииз не рекомендует продавать или выкидывать его. К примеру, тот же журнал истории соединений WiFi вполне может быть использован для отслеживания владельца или хотя бы получить представление, в какое время он обычно бывает дома.
Не смотря на то, что добыча подобной информации требует определенных технических навыков, риск все же остается.
В недавнем твите некий хакер делится своими соображениями относительно возможности создания центров переработки электронных устройств, которые могли бы использоваться злоумышленниками для сбора личной информации пользователей.
Если же после прочтения этой статьи Вы все равно намерены продать Ваш смартфон, не забудьте хотя бы сменить пароли сетей WiFi, а также пароли доступа к аккаунтам различных служб, которыми пользовались в телефоне.
https://bitdefender.ru/news/dvazhdy-obdumajte-reshenie-prodat-smartfon-on-mozhet-hranit-vashi-lichnye-dannye/
