像当今大多数物联网 (IoT) 设备一样,亚马逊的 Echo Dot 为用户提供了一种恢复出厂设置的方法,因此,正如这家企业巨头所说,用户可以“从适用的设备中删除任何……个人内容” )”,然后再出售或丢弃它们。但研究人员最近发现,保留在这些重置设备上的数字位可以重新组合以检索大量敏感数据,包括密码、位置、身份验证令牌和其他敏感数据。
(相关资料图)
大多数物联网设备,包括 Echo Dot,都使用基于 NAND 的闪存来存储数据。与传统硬盘驱动器一样,NAND(布尔运算符“ NOT AND ”的缩写)存储数据位以便以后调用,但硬盘驱动器将数据写入磁片,而 NAND 使用硅芯片。NAND 也没有硬盘驱动器稳定,因为读取和写入它会产生位错误,必须使用纠错代码进行纠正。
重置但未擦除
NAND 通常按平面、块和页进行组织。这种设计允许有限数量的擦除周期,通常每个块大约在 10,000 到 100,000 次之间。为了延长芯片的使用寿命,存储已删除数据的块通常会失效而不是擦除。真正的删除通常只有在块中的大多数页面都无效时才会发生。这个过程被称为磨损平衡。
东北大学的研究人员在 16 个月内在 eBay 和跳蚤市场上购买了 86 台二手设备。他们首先检查了购买的设备,看看哪些设备已恢复出厂设置,哪些尚未恢复出厂设置。他们的第一个惊喜:61% 的人没有被重置。无需重置,恢复以前所有者的 Wi-Fi 密码、路由器 MAC 地址、亚马逊帐户凭据以及有关连接设备的信息是一个相对容易的过程。
当研究人员拆开设备并对存储在其内存中的内容进行法医检查时,下一个惊喜出现了。
“可以物理访问此类设备(例如,购买二手设备)的对手可以检索敏感信息,例如 Wi-Fi 凭据、(以前的)所有者的物理位置和网络物理设备(例如,相机、门锁) ,”研究人员在一篇研究论文中写道。“我们表明,即使在恢复出厂设置后,这些信息,包括所有以前的密码和令牌,仍会保留在闪存中。”
使用过的 Echo Dots 和其他亚马逊设备可能有多种状态。一种状态是设备仍处于预配置状态,因为购买的 Echo Dots 中 61% 是这样。设备可以在连接到之前所有者的 Wi-Fi 网络时重置,在与 Wi-Fi 断开连接时重置,无论是否从所有者的 Alexa 应用程序中删除设备。
根据 NAND 闪存的类型和先前拥有的设备的状态,研究人员使用了几种不同的技术来提取存储的数据。对于复位设备,有一个称为芯片关闭的过程,包括拆卸设备和拆焊闪存。然后研究人员使用外部设备访问和提取闪存内容。这种方法需要相当数量的设备、技能和时间。
一种称为系统内编程的不同过程允许研究人员在不拆焊的情况下访问闪存。它的工作原理是从印刷电路板上刮掉一些阻焊层,然后将导电针连接到裸露的铜片上,以接入信号走线,将闪光灯连接到 CPU。
研究人员还创造了一种混合芯片关闭方法,可以减少对 PCB 和嵌入式多芯片封装的损坏和热应力。这些缺陷会导致 PCB 焊盘短路和破损。混合技术对RAM使用施主多芯片封装,并在外部使用原始多芯片封装的嵌入式多媒体卡部分。对于想要分析物联网设备的研究人员来说,这种方法最有趣。
亚历克萨,我是谁?
除了 86 台使用过的设备外,研究人员还购买了 6 台新的 Echo Dot 设备,并在数周内为它们提供了不同地理位置和不同 Wi-Fi 接入点的测试帐户。研究人员将提供的设备与不同的智能家居和蓝牙设备配对。然后,研究人员使用前面描述的技术从这些仍然提供的设备中提取闪存内容。
从他们的六个新设备中提取闪存内容后,研究人员使用Autospy取证工具搜索嵌入的多媒体卡图像。研究人员手动分析了 NAND 转储。他们多次找到亚马逊账户所有者的姓名,以及wpa_supplicant.conf 文件的完整内容,该文件存储了设备之前连接的网络列表以及他们使用的加密密钥。恢复的日志文件还提供了大量个人信息。
因为研究人员自己配置了设备,所以他们知道设备存储了哪些类型的信息。他们使用这些知识创建了一个关键字列表,以在四类中定位特定类型的数据:有者的信息、Wi-Fi 相关数据、对设备的信息和地理信息。了解设备上的数据类型可能会有所帮助,但这对于执行攻击来说不是必需的。
在转储和分析恢复的数据后,研究人员重新组装了这些设备。研究人员写道:
我们的假设是,当设备连接到不同的位置和具有不同 MAC 地址的 Wi-Fi 接入点时,设备不需要额外的设置。我们确认设备连接成功,我们可以向设备发出语音命令。当被问到“Alexa,我是谁?”时,该设备将返回前任所有者的姓名。重新连接到被欺骗的接入点并没有在 Alexa 应用程序中产生通知,也没有通过电子邮件发出通知。这些请求记录在 Alexa 应用程序的“活动”下,但可以通过语音命令删除它们。我们能够控制智能家居设备、查询包裹交付日期、创建订单、获取音乐列表并使用“插入”功能。如果日历或联系人列表链接到亚马逊帐户,也可以访问它。功能的确切数量取决于前任所有者使用的功能和技能。在恢复出厂设置之前和之后,使用 Chip-Off 方法从我们提供的设备中提取原始 NAND 闪存。此外,我们使用 eMMC 接口创建了一个转储。为了在结果转储中查找信息,我们必须开发一种方法来识别有趣的信息。
撰写该论文的东北大学研究人员之一丹尼斯·吉斯 (Dennis Giese) 在一封电子邮件中详细介绍了攻击场景,他写道:
其中一个查询是“Alexa,我是谁”,设备会告诉主人的名字。前所有者使用的所有服务都可以访问。例如,您可以通过 Echo 管理您的日历。此外,当包裹即将到达时,Echo 会收到通知,或者您可以使用 Drop-In 功能(例如,与您的另一个 Echo 交谈)。如果有人不使用任何智能家居设备,那么您显然无法控制它们。一件特别的事情是门锁,默认情况下,Alexa 只允许您锁定它们。用户需要手动允许 Alexa 启用解锁功能……据我们所知,这只能通过应用程序运行。因此,如果用户未启用该功能,您将无法开门。
读茶叶
虽然 Echo Dot 不会通过语音命令提供前主人的地址,但研究人员能够通过询问附近餐馆、杂货店和公共图书馆的问题来找到大致位置。在一些实验中,位置精确到 150 米。在某些情况下——比如当设备用户有多个 Wi-Fi 路由器或邻居的 SSID 名称被存储时——研究人员可以使用谷歌本地化 API,它仍然更精确。
当 Echo Dots 被重置时,数据提取需要更加复杂。如果在设备与所有者的 Wi-Fi 网络断开连接并且用户没有从他们的 Alexa 应用程序中删除设备时完成了重置,则恢复的数据包括连接到关联亚马逊帐户所需的身份验证令牌。从那里,研究人员可以用非重置设备做同样的事情,如前所述。
当设备在连接到 Wi-Fi 网络时重置或已从 Alexa 应用程序中删除时,研究人员无法再访问关联的亚马逊帐户,但在大多数情况下,他们仍然可以获得 Wi-Fi SSID 名称和密码以及 MAC 地址连接的路由器。通过这两条信息,通常可以使用Wigle等搜索网站了解设备的大致位置。
Giese 这样总结结果:
如果设备尚未重置(在 61% 的情况下),那么它非常简单:您移除底部的橡胶,移除 4 个螺丝,移除主体,拧下 PCB,移除屏蔽并连接针头。然后,您可以使用标准 eMMC/SD 卡读卡器在 5 分钟内转储设备。得到所有东西后,您重新组装设备(从技术上讲,您不需要重新组装它,因为它会按原样工作)并创建自己的假 Wi-Fi 接入点。之后您可以直接与 Alexa 聊天。
如果设备已重置,它会变得更加棘手,并且会涉及一些焊接。您至少会使用 MAC 地址获得 Wi-Fi 凭证和可能的 Wi-Fi 位置。在极少数情况下,您或许可以将其连接到 Amazon 云和前任所有者的帐户。但这取决于重置的情况。
如果研究人员透露有关所有者的个人信息,则出于道德考虑,他们无法进行实验。研究人员能够进行的实验结果与他们的六台设备的结果一致,并且没有理由相信它们的行为方式不同。这意味着他们购买的 61% 的二手设备拥有大量有关前任所有者的个人信息,对于那些手段不高的人来说,这些信息很容易提取。
研究人员还开发了一种隐私保护方案,以指示设备何时仍存储此信息。研究人员没有保存或使用任何数据来证明额外的攻击,他们也没有在他们获得的另外六台亚马逊认证的翻新设备上找到任何个人数据。
减轻隐私灾难
研究人员提出了几种方法来更好地保护数据不被使用过的设备提取。他们说,最有效的方法是加密用户数据分区。这种缓解措施将解决多个问题。
首先,对已配置设备的物理攻击无法再以简单的方式提取用户数据和凭据,因为数据转储仅包含加密信息,攻击者需要首先检索相应密钥。即使无法或无法执行重置,这也会保护用户凭据。其次,由于所有块都加密存储,因此磨损均衡的大多数问题都得到了缓解。这种块的识别和重新组装变得非常困难。此外,在我们看来,正确识别和重建已删除密钥的痕迹是不可能或不太可能的。
研究人员认为,该解决方案可以在固件更新中实施,并且不会降低大多数设备的性能。没有足够计算能力的设备仍然可以加密 Wi-Fi 密码、身份验证令牌和其他数据。这种替代方法不如加密整个用户分区有效,但它仍然会使数据提取更加困难且成本更高。
研究论文的合著者 Guevara Noubir 在一封电子邮件中说,加密用户数据分区或其中的敏感数据需要一些便利来保护加密密钥而不影响可用性。对于智能手机,加密密钥受 PIN 或密码保护。但是,像 Echo Dot 这样的物联网设备有望在没有用户交互的情况下重新启动后工作。存在技术解决方案,但它们需要一定程度的设计和实施工作。
亚马逊回应(有点)
当被问及亚马逊是否了解调查结果或不同意调查结果时,公司发言人写道:“我们设备的安全性是重中之重。我们建议客户在转售、回收或处置设备之前取消注册并恢复出厂设置。无法访问亚马逊帐户密码或支付卡信息,因为这些数据未存储在设备上。”
在背景方面,她还指出了研究人员已经提出的观点,特别是:
该公司正在研究缓解措施
攻击要求攻击者实际拥有设备并接受专门培训
对于在连接到 Internet 时成功重置的设备,内存中剩余的信息不会让攻击者访问用户的 Amazon 帐户
亚马逊会擦除通过亚马逊以旧换新或退货提供的设备上剩余的任何数据
研究中展示的威胁很可能适用于 Fire TV、Fire Tablets 和其他亚马逊设备,尽管研究人员没有对它们进行测试。结果也可能适用于许多其他不加密用户数据的基于 NAND 的设备,包括 Google Home Mini。
Giese 说,他相信亚马逊正在研究如何更好地保护其制造的设备上的数据。在那之前,那些不再使用其设备的真正偏执的用户别无选择,只能物理破坏内部的 NAND 芯片。对于其余部分,重要的是在设备连接到配置它的 Wi-Fi 接入点时执行恢复出厂设置。
Giese 说重置并不总是按预期工作,部分原因是很难区分 Wi-Fi 密码重置(按重置 15 秒)和出厂重置(按重置至少 25 秒)。他建议所有者验证设备是否已重置。对于 Echos,用户可以通过重启设备并查看它是否连接到 Internet 或进入设置模式来完成此操作。所有者还应仔细检查该设备是否不再出现在 Alexa 应用程序中。
“虽然重置仍然会留下数据,但您更难提取信息(芯片关闭方法)并使设备对您的亚马逊帐户的访问无效,”他说。“一般来说,对于所有物联网设备,重新考虑转售它是否真的值得是一个好主意。但显然,这对环境来说可能不是最好的事情。”
关键词:
