Los Echo Dot de Amazon ofrecen a los usuarios una manera de realizar un restablecimiento de fábrica para que, como dice el gigante corporativo, los usuarios puedan «eliminar cualquier … contenido personal de los dispositivos aplicables» antes de venderlos o descartarlos. Pero los investigadores han encontrado recientemente que los bits digitales que permanecen en estos dispositivos de reinicio se pueden volver a ensamblar para recuperar una gran cantidad de datos confidenciales, incluyendo contraseñas, ubicaciones, tokens de autenticación y otras cosas.

La mayoría de los dispositivos IoT, incluido el Echo Dot, utilizan memoria flash basada en NAND para almacenar datos. Al igual que los discos duros tradicionales, NAND, que es la abreviatura del operador booleano «not and», almacena bits de datos para que puedan ser recuperados más tarde. Pero mientras que los discos duros escriben datos en bandejas magnéticas, NAND utiliza chips de silicio. NAND también es menos estable que los discos duros porque leer y escribir en él produce errores de bits que deben corregirse usando código de corrección de errores.

NAND generalmente se organiza en planos, bloques y páginas. Este diseño permite un número limitado de ciclos de borrado, generalmente en el vecindario de 10.000 a 100.000 veces por bloque. Para extender la vida útil del chip, los bloques que almacenan datos eliminados a menudo se invalidan en lugar de borrarse. Las eliminaciones verdaderas generalmente ocurren solo cuando la mayoría de las páginas de un bloque son invalidadas. Este proceso se conoce como nivelación del desgaste.

Investigadores de Northeastern University compraron 86 dispositivos usados en eBay y en mercados de pulgas en un lapso de 16 meses. Primero examinaron los dispositivos comprados para ver cuáles habían sido reiniciados de fábrica y cuáles no. Su primera sorpresa: el 61 por ciento de ellos no habían sido reiniciado. Sin un restablecimiento, recuperar las contraseñas Wi-Fi de los propietarios anteriores, las direcciones MAC del router, las credenciales de la cuenta de Amazon y la información sobre los dispositivos conectados fue relativamente fácil.

La siguiente sorpresa llegó cuando los investigadores desmontaron los dispositivos y examinaron forensemente el contenido almacenado en su memoria. «Un adversario con acceso físico a tales dispositivos (por ejemplo, comprar uno usado) puede recuperar información confidencial como credenciales Wi-Fi, la ubicación física de propietarios (antes) y dispositivos ciberfísicos (por ejemplo, cámaras, cerraduras de puertas)», escribieron los investigadores en un artículo de investigación. «Demostramos que dicha información, incluidas todas las contraseñas y tokens anteriores, permanece en la memoria flash, incluso después de un restablecimiento de fábrica».

Echo Dots usados y otros dispositivos Amazon pueden venir en una variedad de estados. Un estado es que el dispositivo permanece aprovisionado, como lo fueron el 61 por ciento de los Echo Dots comprados. Los dispositivos se pueden restablecer mientras están conectados a la red Wi-Fi del propietario anterior, restablecerse mientras están desconectados de Wi-Fi, ya sea con o sin eliminar el dispositivo de la aplicación Alexa del propietario.

Dependiendo del tipo de flash NAND y el estado del dispositivo de propiedad anterior, los investigadores utilizaron varias técnicas para extraer los datos almacenados. Para los dispositivos de reinicio, hay un proceso conocido como chip-off, que implica desmontar el dispositivo y desoldar la memoria flash. Los investigadores luego usan un dispositivo externo para acceder y extraer el contenido flash. Este método requiere una buena cantidad de equipo, habilidad y tiempo.

Un proceso diferente llamado programación en el sistema permite a los investigadores acceder al flash sin desoldarlo. Funciona rascando parte del recubrimiento de la máscara de soldadura de la placa de circuito impreso y conectando una aguja conductora a una pieza expuesta de cobre para aprovechar la traza de señal, que conecta el flash a la CPU.

Los investigadores también crearon un método híbrido de chip-off que causa menos daño y estrés térmico a la PCB y al paquete multichip integrado. Estos defectos pueden causar cortocircuitos y rotura de las almohadillas de PCB. La técnica híbrida utiliza un paquete de múltiples chips de donantes para la RAM y la porción de tarjeta multimedio integrada del paquete original de múltiples chips externamente. Este método es principalmente interesante para los investigadores que quieren analizar dispositivos de IoT.

Además de los 86 dispositivos utilizados, los investigadores compraron seis nuevos dispositivos Echo Dot y, en un lapso de varias semanas, los aprovisionaron con cuentas de prueba en diferentes ubicaciones geográficas y diferentes puntos de acceso Wi-Fi. Los investigadores emparejaron los dispositivos aprovisionados con diferentes dispositivos para el hogar inteligente y Bluetooth. Los investigadores luego extrajeron el contenido flash de estos dispositivos aún aprovisionados utilizando las técnicas descritas anteriormente.

Después de extraer el contenido flash de sus seis nuevos dispositivos, utilizaron la herramienta forense Autospy para buscar imágenes de tarjetas multimedia incrustadas. Analizaron los volcados NAND manualmente. Encontraron el nombre del propietario de la cuenta de Amazon varias veces, junto con el contenido completo del archivo wpa_supplicant.conf, que almacena una lista de redes a las que los dispositivos se han conectado previamente, junto con la clave de cifrado que utilizaron. Los archivos de registro recuperados también proporcionaron mucha información personal.

Debido a que los investigadores aprovisionaron los dispositivos ellos mismos, sabían qué tipos de información almacenaban los dispositivos. Utilizaron este conocimiento para crear una lista de palabras clave para localizar tipos específicos de datos en cuatro categorías: información sobre el propietario, datos relacionados con Wi-Fi, información sobre dispositivos emparejados e información geográfica. Saber qué tipos de datos hay en el dispositivo puede ser útil, pero no es necesario para llevar a cabo el ataque.

Después de volcar y analizar los datos recuperados, los investigadores volvieron a montar los dispositivos. Los investigadores escribieron: Nuestra suposición era que el dispositivo no requeriría una configuración adicional cuando se conectara en una ubicación diferente y en un punto de acceso Wi-Fi con una dirección MAC diferente. Confirmamos que el dispositivo se conectó correctamente y pudimos emitir comandos de voz al dispositivo. Cuando se le preguntó «Alexa, ¿quién soy?» el dispositivo devolvería el nombre del propietario anterior. La reconexión al punto de acceso falsificado no produjo un aviso en la aplicación Alexa ni una notificación por correo electrónico. Las solicitudes se registran en «Actividad» en la aplicación Alexa, pero se pueden eliminar a través de comandos de voz. Pudimos controlar dispositivos para el hogar inteligente, consultar las fechas de entrega de paquetes, crear pedidos, obtener listas de música y usar la función «drop-in». Si un calendario o lista de contactos estaba vinculado a la cuenta de Amazon, también era posible acceder a ella. La cantidad exacta de funcionalidad depende de las características y habilidades que el propietario anterior había utilizado. Antes y después de un restablecimiento de fábrica, el flash NAND sin procesar se extrajo de nuestros dispositivos aprovisionados utilizando el método Chip-Off. Además, creamos un volcado usando la interfaz eMMC. Para encontrar información en los volcados resultantes, tuvimos que desarrollar un método para identificar información interesante.

Mientras que el Echo Dot no proporcionaría la dirección del propietario anterior a través de comandos de voz, los investigadores pudieron encontrar la ubicación aproximada haciendo preguntas sobre restaurantes, tiendas de comestibles y bibliotecas públicas cercanas. En algunos de los experimentos, las ubicaciones eran precisas hasta 150 metros. En algunos casos, como cuando el usuario del dispositivo tenía varios routers Wi-Fi o se almacenaban los nombres SSID de los vecinos, los investigadores podían usar la API de localización de Google, que es aún más precisa. Cuando se restableció Echo Dots, la extracción de datos requirió más sofisticación. En el caso de que el restablecimiento se realizara cuando el dispositivo se desconectara de la red Wi-Fi del propietario y el usuario no eliminara el dispositivo de su aplicación Alexa, los datos recuperados incluían el token de autenticación necesario para conectarse a la cuenta de Amazon asociada. A partir de ahí, los investigadores podrían hacer lo mismo posible con dispositivos que no se restablecimiento, como se describió anteriormente.

Cuando los dispositivos se restablecían mientras estaban conectados a la red Wi-Fi o se habían eliminado de la aplicación Alexa, los investigadores ya no podían acceder a la cuenta de Amazon asociada, pero en la mayoría de los casos aún podían obtener nombres SSID y contraseñas Wi-Fi y direcciones MAC del router conectado. Con esas dos piezas de información, por lo general es posible aprender la ubicación aproximada del dispositivo utilizando sitios de búsqueda como Wigle.

Las consideraciones éticas impidieron que los investigadores realizaran experimentos si revelaban información personal sobre el propietario. Los resultados de los experimentos que pudieron hacer fueron consistentes con los resultados de sus seis dispositivos, y no hay razón para creer que no se comportarían de la misma manera. Eso significa que el 61 por ciento de los dispositivos usados que compraron tenían una gran cantidad de información personal sobre el propietario anterior que era bastante fácil de extraer para alguien con medios modestos.

Los investigadores también desarrollaron un esquema de preservación de la privacidad para indicar cuándo los dispositivos aún almacenaban esta información. No guardaron ni usaron nada de él para demostrar ataques adicionales. No encontraron ningún dato personal en seis dispositivos renovados certificados por Amazon adicionales que obtuvieron. Los investigadores creen que la solución se puede implementar en una actualización de firmware y no degradaría el rendimiento para la mayoría de los dispositivos. Para los dispositivos que no tienen suficiente potencia informática, todavía pueden cifrar contraseñas Wi-Fi, tokens de autenticación y otros datos. Esa alternativa no es tan efectiva como cifrar toda la partición de usuario, pero aún así haría que la extracción de datos fuera mucho más difícil y costosa.

El cifrado de la partición de datos de usuario o los datos confidenciales en ella requiere algunas adaptaciones para proteger la clave de cifrado sin obstaculizar la usabilidad, dijo Guevara Noubir, coautor del artículo de investigación, en un correo electrónico. Para los teléfonos inteligentes, las claves de cifrado están protegidas con un PIN o contraseña. Pero se espera que los dispositivos IoT como el Echo Dot funcionen después de un reinicio sin interacción del usuario. Existen soluciones técnicas, pero requieren cierto nivel de esfuerzo de diseño e implementación.

Fuente: Wired