Eigenaren van een Android-smartphone die de fabrieksinstellingen van het toestel terugzetten, de zogeheten 'factory reset', lopen het risico dat privégegevens toch zijn terug te halen en kwaadwillenden zelfs het Gmail-account kunnen overnemen. Onderzoekers van de Universiteit van Cambridge kochten 21 tweedehands Android-smartphones van vijf verschillende fabrikanten, met Androidversies 2.3 tot en met 4.3.

Van alle toestellen waarbij de factory reset was mislukt wisten de onderzoekers het "Google mastercookie" terug te halen, waarmee het mogelijk is om op het Gmail-account van de vorige eigenaar in te loggen. Ook e-mails en chatgesprekken werden teruggevonden, alsmede tokens voor verschillende apps zoals Facebook. Volledige schijfversleuteling kan het probleem oplossen, maar de onderzoekers ontdekten dat een mislukte factory reset voldoende gegevens achterlaat om de encryptiesleutel te herstellen.

De redenen dat het resetten mislukt zijn volgens de onderzoekers complex en worden veroorzaakt door fouten in Android zelf, de upgradewerkwijze van de leverancier en slechte integratie en testen door de leverancier. Het probleem speelt vooral bij oudere telefoons en de telefoons van Google zelf presteren beter dan die van OEM-leveranciers. Toch is het een groot probleem, aldus de onderzoekers. "Het achterhalen van gegevens op verkochte toestellen is een groeiende dreiging, nu meer gebruikers tweedehands toestellen kopen."

De verkoop van toestellen is namelijk belangrijk voor fabrikanten, omdat mensen eerder nieuwe modellen kopen als ze weten dat ze die later kunnen doorverkopen. Als blijkt dat gegevens op deze toestellen zijn te achterhalen kan dit de marktgroei verstoren. In hun rapport (pdf) doen de onderzoekers verschillende aanbevelingen die fabrikanten kunnen toepassen. Verder pleiten ze voor toekomstig onderzoek, waarbij er wordt gekeken of fabrikanten de situatie aan de hand van het nu gepubliceerde rapport hebben verbeterd.