Il Rabbit R1, gadget AI tanto atteso e ampiamente pubblicizzato, continua a deludere con ulteriori problemi di sicurezza. Una nuova scoperta ha rivelato una vulnerabilità significativa che potrebbe compromettere gravemente la sicurezza e la privacy degli utenti.

Scoperta della vulnerabilità nel codice del Rabbit R1

Un team di ricercatori di sicurezza, noto come Rabbitude, ha annunciato di aver scoperto una vulnerabilità critica nel codice del Rabbit R1. Il 16 maggio, i ricercatori hanno avuto accesso al codice sorgente del dispositivo e hanno identificato diverse chiavi API hardcoded. Queste chiavi API sono associate a sistemi di text-to-speech (ElevenLabs e Azure), Google Maps e Yelp.

Implicazioni della scoperta

L’accesso a queste chiavi API consente a malintenzionati di compiere una serie di attività preoccupanti. Una delle implicazioni più gravi è la possibilità di leggere tutte le risposte fornite da qualsiasi dispositivo Rabbit R1. Questo include risposte contenenti informazioni personali o sensibili degli utenti.

Lettura delle Risposte Sensibili: Questa vulnerabilità permette a chiunque di leggere ogni risposta fornita dai dispositivi Rabbit R1, esponendo potenzialmente informazioni private degli utenti.

Possibilità di Compromettere i Dispositivi: Oltre alla lettura delle risposte, la vulnerabilità consente di bloccare i dispositivi Rabbit R1, modificare le risposte dei gadget e cambiare la voce del dispositivo.

Reazione del Team Rabbit

Secondo il team di Rabbitude, il team di Rabbit è a conoscenza di questa perdita delle chiavi API ma ha scelto di ignorarla. Le chiavi API sono ancora valide al momento della scrittura di questo articolo.

“Abbiamo conferma interna che il team di Rabbit è a conoscenza di questa fuga di chiavi API e ha scelto di ignorarla. Le chiavi API continuano a essere valide mentre scriviamo,” ha spiegato il team di Rabbitude. “Non pubblicheremo ulteriori dettagli per rispetto degli utenti, non dell’azienda.”

Abbiamo contattato Rabbit per ottenere una dichiarazione su questa presunta vulnerabilità e per sapere se stanno realmente ignorando il problema. Aggiorneremo l’articolo quando e se l’azienda risponderà.

Problemi precedenti con il Rabbit R1

Questa scoperta arriva dopo che altri ricercatori hanno affermato che il Rabbit R1 non era realmente alimentato da un cosiddetto “large action model” come inizialmente dichiarato. Questi ricercatori sono riusciti anche a far girare giochi sui server del R1, mettendo ulteriormente in dubbio le capacità tecniche dichiarate dal produttore.

VIA