Cada vez es más complicado controlar el flujo de nuestros datos e información en lo relacionado con el uso de dispositivos y plataformas, quizás más desde la presencia de los asistentes virtuales en casa en los altavoces inteligentes. Ahora, una investigación apunta a que ni siquiera es suficiente con resetear y que datos como la localización o las credenciales de la WiFi son accesibles tras la restauración de fábrica de un Amazon Echo.
Los datos se quedan en uno de los componentes
Se trata de una investigación de unos ingenieros de la Northeastern University, quienes tras 16 meses aplicando ingeniería inversa a altavoces Amazon Echo de segunda mano muestran que hay carencias a nivel de protección de datos privados. Según especifican, un usuario con conocimientos suficientes puede acceder a datos como las credenciales de la WiFi, la localización de los anteriores propietarios y sus dispositivos de seguridad (como cámaras de vigilancia o cerraduras inteligentes).
Lo que han detectado es que dichos datos se conserva en el propio dispositivo, en la memoria flash. Algo que ocurre incluso tras una restauración de fábrica, lo cual achacan a los algoritmos que se usan en dicha memoria y a la falta de encriptación.
Según detallan, lo que además vieron en los 86 productos que investigaron (obtenidos en eBay y en mercadillos sin especificar) es que más de la mitad de productos ni siquiera se habían reseteado por los antiguos dueños, lo cual según los investigadores puede deberse a que, más allá de la posible falta de conocimiento de los usuarios, el proceso de restauración "puede ser confuso" (y si es vuestro caso, en Basics podéis consultar una guía paso a paso para que os resulte más sencillo). En cuanto a los productos reacondicionados (refurbished), comprados en la propia Amazon, no encontraron rastro de datos, por lo que desconocen si fueron usados previamente y consideran que en estos casos además ha podido haber un cambio de placa base.
Eso sí, el proceso de recuperación de datos no es sencillo y requiere conocimientos bastante avanzados. Según detallan, hay que desoldar el chip de la memoria flash de la placa y usar otro dispositivo para poder extraer los datos, así que es algo complejo aunque al final sólo se tarde entre 20 o 30 minutos (en manos expertas).
En Xataka hemos contactado con Amazon en relación a esta información. La compañía nos ha enviado el siguiente comunicado oficial al respecto:
"La seguridad de nuestros dispositivos es una prioridad absoluta para nosotros. Apreciamos el trabajo de los investigadores independientes que nos ayudan a identificar posibles problemas y siempre estamos trabajando en acciones adicionales para hacer aún más seguros nuestros dispositivos. No es posible recuperar las contraseñas de las cuentas de Amazon o el pago la información de la tarjeta de la memoria, porque esos datos no se almacenan en el dispositivo".
La empresa recalca que no se puede recuperar dicha información, pero por ahora no se han referido a la que han puntualizado en la especificación. Especialmente de cara a la especificación de "aplicar una restauración de fábrica para borrar cualquier tipo de dato personal del dispositivo", expresada textualmente en una de sus páginas de ayuda relacionada con el reciclaje de sus Amazon Echo, que según este trabajo no sería del todo cierto de manera estricta.
Por ahora no han comentado nada más, así que estaremos pendientes de si hay algún cambio en el producto o en los procesos de la compañía a nivel de la restauración que puede hacer el propio usuario.
Ver 2 comentarios