Amazon Echo löscht Nutzerdaten nicht vollständig
Nur weil die ehemalige Besitzerin oder der Besitzer eines Amazon Echo Dot diesen in den Werkzustand zurückgesetzt hat, heißt das nicht, dass auch die gespeicherten Daten gelöscht wären. Forschende der Northeastern University in Boston konnten auf 86 gebraucht gekauften smarten Lautsprechern Daten der Vorbesitzer wiederherstellen. Die Geräte speichern unter anderem die Zugangsdaten für den verknüpften Amazon-Account, die MAC-Adresse des Routers und Passwörter für das WLAN.
Die Forschenden hatten die Echo Dots (3. Gen.) in einem Zeitraum von 16 Monaten aus zweiter Hand bei eBay und auf Flohmärkten in den USA, Deutschland und den Niederlanden gekauft. 61 Prozent der Geräte waren von den Vorbesitzern nicht einmal in den Werkszustand zurückgesetzt worden. Käuferinnen und Käufer hätten sie ohne Weiteres mit den Konten der Verkäufer betreiben und teils auf deren Daten zugreifen können.
Doch auch wenn die Verkäufer diesen dringend empfohlenen Schritt vor dem Weiterverkauf vollzogen hatten, konnten die Wissenschaftlerinnen und Wissenschaftler die persönlichen Daten wiederherstellen.
Nicht sauber gelöscht
Denn Echo Dots speichern die Daten auf einem sogenannten Flash-Speicher – so wie die meisten anderen Elektronikgeräte auch. Soll der Lautsprecher Informationen löschen, entfernt die Elektronik die Daten nicht physisch, sondern markiert die Daten nur als gelöscht und überschreibt sie erst, wenn der Platz im Speicher für andere Informationen gebraucht wird. Durch diese Technik kann die Lebenszeit des Flash-Speichers verlängert werden.
Doch die Daten bleiben dadurch auch nach dem Reset vorhanden. Um sie wiederherzustellen, entfernten die Forscher die Speicher-Chips aus den Geräten und lasen sie in speziellen Lesegeräten aus. Alternativ wurden die Chips im Echo Dot belassen und die elektrischen Kontakte angezapft. Die Informationen wurden anschließend mit forensischer Software analysiert.
So fanden sich Nutzernamen und Zugangsdaten, die sich wiederherstellen ließen. Die Wissenschaftler konnten anschließend in fremdem Namen Bestellungen bei Amazon aufgeben, an dort hinterlegte Kreditkartendaten gelangen und Kontakte aufrufen. Den Wohnort des Vorbesitzers verrieten die Lautsprecher zwar nicht direkt, aber durch indirekte Fragen an den integrierten Sprachassistenten Alexa, konnten die Angreifer den Wohnort auf rund 150 Meter einkreisen.
Bei dem Echo Dot handelt es sich um die kleinste und preiswerteste Variante der smarten Lautsprecher von Amazon. Eigentlich kann man die Geräte mit einer bestimmten Tastenkombination auf den Werkszustand zurücksetzen – wie beispielsweise auch Smartphones, Tablets und Smart-TVs. Anschließend sollte sich das Gerät im Auslieferungszustand befinden, also ohne jegliche Nutzerdaten.
Was tun als Verkäufer?
Wer ein Elektronikgerät verkauft oder anderweitig weitergibt, sollte es immer in den Einstellungen zurücksetzen – egal ob Lautsprecher, Smartphone, Smartwatch oder Router. Diese Option findet sich bei so gut wie allen Geräten, die vernetzt sind. Für den Durchschnittsnutzer sind die Daten des Vorbesitzers mit diesem Schritt nicht mehr einsehbar.
Gegen Schwachstellen wie die des Echo und gegen das professionelle Auslesen von Daten kann man als Nutzer aber nicht viel ausrichten. Besitzerinnen und Besitzer sind darauf angewiesen, dass Amazon das Problem per Software-Update löst. Immerhin sind die Daten nach dem Zurücksetzen nur für Fachkundige erreichbar – und nur mit forensischem Aufwand.
Die Wissenschaftler haben Amazon kontaktiert und vorgeschlagen, die Daten zu verschlüsseln. Amazon teilte daraufhin nur mit, an einer Abhilfemaßnahme zu arbeiten. Im besten Fall hätten die Lautsprecher nach dem Zurücksetzen die Daten mehrfach überschrieben. Dann wären sie unwiederbringlich gelöscht gewesen. (hcz)