Rabbit R1 afectado por un grave fallo de seguridad

El dispositivo de IA Rabbit R1 se lanzó hace unos meses y del cual os hemos hablado en varios artículos y lo que parecía un gadget realmente interesante se ha vuelto un dispositivo muy vulnerable.

En una entrada del blog del grupo Rabbitude – un proyecto de ingeniería inversa que hackea y experimenta con este dispositivo – el grupo afirmó que el 16 de mayo logró acceder al código fuente del R1, donde descubrió que se habían codificado varias claves API.

Estas claves podrían usarse para leer todas las respuestas alguna vez dadas por el R1 (incluyendo las que contienen datos personales), alterar todas las respuestas del R1 y reemplazar la voz del R1. De hecho, incluso podrían usarse para eliminar las voces del R1, lo que haría que el backend se bloqueara y que todos los dispositivos quedaran inutilizables.

Poco después de la publicación de esta entrada en el blog, Rabbit publicó una actualización de seguridad en su sitio web, diciendo que ahora ha rotado las claves durante un breve tiempo de inactividad. En su propia investigación en curso, afirmó que no se ha accedido a sistemas críticos ni a datos de clientes.Sin embargo, Rabbitude luego publicó una nueva entrada en el blog , criticando las pobres prácticas de seguridad de Rabbit.

El grupo afirma que la clave API de este servicio aún está activa y se puede usar para acceder a todos los correos electrónicos enviados en el subdominio r1.rabbit.tech, otro incumplimiento de la privacidad del cliente. De hecho, incluso se puede usar para enviar correos electrónicos a los usuarios desde la dirección de correo electrónico rabbit.tech.

¿Qué es realmente Rabbitude?

El grupo analiza y descubre vulnerabilidades en el dispositivo, además de añadir nuevas funcionalidades, como un reloj de 24 horas, spoofing de tu ubicación GPS, habilitación de la pantalla táctil, ejecución de nuevas apps como Youtube, etc.