Problem jest zauważalny w przypadku używanych dysków twardych, co podkreślono w tegorocznym badaniu wykazującym, że spośród 159 używanych dysków zakupionych w serwisie eBay prawie połowa nadal ma wrażliwe dane. W telefonach, które nie zostały zaszyfrowane i nie zostały zresetowane do wartości domyślnych przed sprzedażą, informacje te mogą obejmować obrazy, wiadomości, poświadczenia lub listy połączeń. Jeśli istnieją rozwiązania dla dysków twardych i smartfonów, systemy IoT to odmiana systemów komputerowych, które nie pozwalają na bezpośredni dostęp do danych, a powodzenie przywracania ustawień fabrycznych jest trudne do zweryfikowania. Ponadto brak standardów pozwala producentom na przywrócenie ustawień fabrycznych w sposób, który uznają za odpowiedni.
Dennis Giese, Ph.D. student na Northeastern University w Bostonie, badał wydajność resetowania do ustawień fabrycznych w urządzeniach IoT i zauważył, że po operacji pozostały ślady danych; w niektórych przypadkach mógł uzyskać dostęp do wszystkich danych. Odkrył, że wydajne systemy z większą liczbą funkcji i większą pamięcią zawierają najwięcej danych. Analizując pamięć wewnątrz kilku inteligentnych gadżetów z różnych kategorii, był w stanie wyodrębnić poufne informacje, od dzienników połączeń i identyfikatorów użytkowników po buforowane migawki, filmy, poświadczenia i historię przeglądania. Wszystkie te dane pochodziły z inteligentnych odkurzaczy, odtwarzaczy multimedialnych, routerów, inteligentnych centrów domowych, zabawek i kamer. Istnieje więcej niż jeden powód, dla którego dane te są przechowywane na używanych urządzeniach, a czasami nie dzieje się tak, ponieważ użytkownik nie zresetował urządzenia do ustawień fabrycznych. Na tegorocznej konferencji hakerów DEF CON badacz wyjaśnił, że nadal istnieją informacje na temat pamięci flash używanej przez gadżety IoT z powodu funkcji zwanej wyrównywaniem zużycia. Pamięć flash przestaje działać. Aby zapewnić zrównoważony poziom zużycia, zmiana przechowywanych informacji nie jest usuwana. Zamiast tego blok, który go przechowuje, jest oznaczony jako niedostępny, a zmiany są kopiowane do nowego bloku. W pewnym momencie, np. Gdy zabraknie ci miejsca, nieużywane bloki są opróżniane i stają się ponownie użyteczne.
Za każdym razem, gdy zmieniasz dane, dane te są zapisywane w nowym bloku. Dzięki tej logice w pewnym momencie często zmieniane dane będą miały więcej dostępnych kopii, tworząc historię. Giese podał poświadczenia Wi-Fi jako przykład, który miałby historię zmian, jeśli często konfigurujesz nowe hasła. Oznacza to, że nawet po przywróceniu urządzenia do stanu początkowego istnieje prawdopodobieństwo, że fragmenty danych są nadal obecne. Giese stwierdził jednak, że dostępność informacji o używanych urządzeniach inteligentnych zależy głównie od poprzedniego właściciela, który może nie wiedzieć, jak je zresetować; w takim przypadku wszystkie dane są nadal obecne. Czasami operacji nie można było wykonać, ponieważ gadżet został w jakiś sposób uszkodzony. Niektórzy asystenci Amazon Echo Dot kupieni przez Giese w ubiegłym roku mieli zepsute złącze USB, a po ich naprawieniu urządzenia stały się w pełni funkcjonalne i miały wszystkie informacje od swoich poprzednich właścicieli. Przywrócenie oprogramowania układowego do stanu fabrycznego jest lepszą opcją przed sprzedażą urządzenia IoT, ale jeśli nie ma sposobu, aby zweryfikować pełne czyszczenie i wiesz, że są w nim wrażliwe szczegóły, Giese zaleca, aby nie wyrzucać ani nie sprzedawać urządzenia. Na przykład pliki konfiguracyjne Wi-Fi i dzienniki użytkowania mogą być wykorzystane do zlokalizowania właściciela i uzyskania ogólnego wyobrażenia o tym, kiedy jest w domu.
Chociaż wyodrębnianie danych wymaga wiedzy technicznej, ryzyko pozostaje. W ostatnim tweecie haker podzielił zaniepokojony pogląd na temat elektronicznych centrów recyklingu, które złośliwi hakerzy mogą skonfigurować specjalnie do zbierania danych osobowych i dokumentów z elementów pamięci w połączonych gadżetach. Jeśli po przeczytaniu nadal chcesz sprzedać urządzenie inteligentne, dobrą praktyką jest również zmiana hasła i nazwy Wi-Fi. Jeśli z gadżetami jest powiązane konto, dobrym pomysłem byłoby również ustanowienie dla niego nowych danych uwierzytelniających.
Źródło: Bitdefender