Segundo a equipe do Rabbitude, um potencial problema de segurança do Rabbit R1 pode expor dados do usuário.
As notícias em torno do Rabbit R1 não têm sido das melhores desde o seu lançamento. Desde relatórios de funcionalidade deficiente até os muitos recursos ainda pendentes, o assistente com tecnologia de IA ficou aquém das expectativas.
Agora, parece que um problema de segurança no código Rabbit R1 pode levar a uma potencial violação de dados.
Problema de segurança do Rabbit R1 pode expor dados do usuário
Se você está um pouco familiarizado com o Rabbit R1, o nome “Rabbitude” pode ser familiar para você. Rabbitude é um projeto comunitário para fazer engenharia reversa do dispositivo e de seu software.
A equipe publica suas descobertas de tempos em tempos, e a mais recente é um pouco preocupante. Segundo a equipe do Rabbitude, o código do Rabbit R1 inclui algumas APIs que oferecem acesso a todas as respostas dadas pelo dispositivo.
Por ser um assistente pessoal, as respostas do dispositivo geralmente incluem informações pessoais do usuário. Portanto, a descoberta da equipe Rabbitude sugere que essas APIs podem permitir uma violação de dados do usuário após um ataque potencial.
Além disso, essas APIs permitem acesso às principais opções para controlar o dispositivo. Segundo o relatório, eles podem ser usados para alterar as respostas do dispositivo ou mudar sua voz. Eles até permitiriam bloquear o R1.
A equipe do Rabbitude se refere a eles como “chaves de API codificadas críticas”.
Eles foram desenvolvidos principalmente para funções de conversão de texto em fala (e vice-versa) desenvolvidas por ElevenLabs e Azure. Também para acesso às avaliações do Yelp e ao Google Maps para requisitos relacionados à localização.
Eles afirmam que a equipe do Rabbit R1 estava ciente do problema, mas nada fez para resolvê-lo.
Nenhum dado do usuário foi exposto, afirma a equipe do Rabbit R1
Enquanto isso, a equipe do Rabbit R1 afirma desconhecer qualquer violação de dados do usuário. No entanto, eles estão investigando uma situação relacionada que ocorreu em 25 de junho.
A empresa afirma que oferecerá atualizações sobre o assunto à medida que encontrarem mais informações.
Após a postagem da equipe Rabbitude, a empresa revogou as chaves do ElevenLabs. Isso afetou a funcionalidade dos dispositivos Rabbit R1 por um tempo. No entanto, eles não revelaram se também revogaram as outras chaves de API relatadas pelo Rabbitude.