Assim como acontece no mercado de smartphones, o campo dos dispositivos de internet das coisas tende a se renovar anualmente — como acontece com a linha Amazon Echo. Logo, é natural que muitas pessoas queiram vender seus aparelhos antigos para comprar novas versões. E na hora de resetar o gadget, é de se esperar que todas as informações pessoais armazenadas nele sejam excluídas, certo? Bom, não exatamente.

Pesquisadores da Northeastern University passaram 16 meses comprando e fazendo engenharia reversa de 86 dispositivos Amazon Echo Dot. O objetivo foi identificar quaisquer problemas de segurança que podem estar presentes nesses aparelhos. Depois de adquiri-los em sites de vendas, como o eBay, a equipe acadêmica desmontou os dispositivos e classificou seus componentes para entender como eles funcionam.

A primeira descoberta foi talvez a menos surpreendente: a maioria dos usuários do Echo que revenderam seus dispositivos nem pensou em redefini-los de fábrica. Assim, os dados antigos ainda estavam salvos nos aparelhos, e os pesquisadores podiam acessar facilmente coisas como as informações de Wi-Fi do antigo proprietário, credenciais de conta da Amazon e endereços MAC do roteador.

Já os dispositivos que foram reinicializados não tiveram os dados totalmente excluídos. Segundo os pesquisadores, ao contrário do que a Amazon diz, você pode realmente recuperar muitos dados pessoais confidenciais armazenados em aparelhos, mesmo aqueles com redefinição de fábrica. O motivo para isso está relacionado à forma como esses produtos salvam as informações usando a memória flash NAND — um meio de armazenamento que, devido a certos processos, não exclui realmente os dados quando o dispositivo é reiniciado.

“Mostramos que as informações privadas, incluindo todas as senhas e tokens anteriores, permanecem na memória flash, mesmo após uma redefinição de fábrica. Isso se deve aos algoritmos de nivelamento de desgaste da memória flash e à falta de criptografia”, escrevem os pesquisadores.

Embora preocupante, o estudo tenta acalmar os ânimos ao dizer que extrair esses dados não é algo tão fácil. Os próprios pesquisadores afirmam que foi necessário desmontar todo o dispositivo e, em seguida, dessoldar a memória flash para só então usar um segundo aparelho para obter as informações. Todo o processo leva cerca de 20 a 30 minutos, se você souber o que está fazendo.

Em resposta ao nosso pedido de comentário, a Amazon forneceu a seguinte declaração:

“A segurança de nossos dispositivos é uma prioridade. Agradecemos o trabalho de pesquisadores independentes que nos ajudam a chamar a atenção para problemas em potencial e estão trabalhando em atenuações adicionais para proteger ainda mais nossos dispositivos. Recomendamos que os clientes cancelem o registro e redefinam os dispositivos de fábrica antes de revendê-los, reciclá-los ou descartá-los. Não é possível recuperar senhas de contas da Amazon ou informações de cartão de pagamento da memória, porque esses dados não são armazenados no dispositivo.”

Assine a newsletter do Gizmodo

Apesar de a probabilidade de um profissional de segurança qualificado sequestrar suas informações pessoais por meio de um aparelho Echo mais antigo possa parecer remota, mirar em indivíduos como um primeiro passo para invadir uma rede maior é bastante comum. Ainda assim, mesmo que não seja uma maneira altamente provável de você ter seus dados saqueados, é um exemplo da maneira como esses dispositivos não são cofres fortificados.