Уязвимость безопасности Rabbit R1 потенциально подвергает риску конфиденциальные данные пользователей, позволяя несанкционированный доступ.

Команда Rabbitude, занимающаяся проектом обратной разработки для устройства Rabbit R1, обнаружила серьезную уязвимость в коде устройства. Эта проблема может привести к несанкционированному доступу к конфиденциальной информации пользователей.

В обновлении на сайте Rabbitude команда сообщила, что 16 мая им удалось получить доступ к коду Rabbit, выявив "несколько критически важных жестко закодированных API-ключей". Эти ключи предоставляют доступ ко всем ответам устройства R1 AI, включая личные данные, и могут вызвать риски, такие как неработоспособность R1, манипуляция ответами и изменение голоса устройства.

Скомпрометированные API-ключи аутентифицируют подключения к нескольким сервисам, включая текст в речь от ElevenLabs, речь в текст от Azure, отзывы на Yelp и геолокацию от Google Maps. В следующем твите участник команды Rabbitude сообщил, что Rabbit знал о данной уязвимости на протяжении месяца, но не предпринял никаких действий. После их объявления Rabbit временно отменил API-ключ ElevenLabs, что привело к сбоям устройств R1.

25 июня Rabbit заявил, что был информирован только о "предполагающей утечке данных". Они отметили: "Наша команда безопасности немедленно начала расследование. В настоящее время мы не знаем о каких-либо утечках данных клиентов или компрометации наших систем. Мы предоставим обновления по мере поступления новой информации." Компания не уточнила, были ли аннулированы ключи, выявленные командой Rabbitude.

R1 от Rabbit — это устройство AI-ассистента, разработанное Teenage Engineering, предназначенное для выполнения задач, таких как заказы еды и быстрый поиск информации. Однако наш обзор оценил его низко, отметив, что функции AI часто не работают должным образом, и многие пользователи могут выполнять те же функции более эффективно с помощью своих смартфонов, что ставит под сомнение цену в $199.