Grave vulnerabilità scoperta nel Rabbit R1: a rischio i dati di tutti gli utenti

Il team di appassionati di tecnologia chiamato Rabbitude ha individuato una seria vulnerabilità nel codice del dispositivo assistente IA Rabbit R1. I membri del gruppo, impegnati in un progetto di reverse engineering, hanno dichiarato di aver ottenuto accesso al codice sorgente del Rabbit R1 a partire dal 16 maggio. Durante l'analisi, hanno scoperto la presenza di alcune API key cruciali in chiaro all'interno del codice. Queste chiavi sono elementi fondamentali per l'integrità e la sicurezza del dispositivo, poiché permettono l'accesso ai dati e ai servizi associati.

Rischi per i dati personali degli utenti

Le API key rilevate nel codice sorgente del Rabbit R1 potrebbero esporre i dati personali degli utenti a potenziali accessi non autorizzati. Infatti, queste chiavi consentono non solo l'accesso alle risposte elaborate dal dispositivo, ma anche la possibilità di disabilitare l'unità, manipolare le risposte fornite o persino alterare la voce utilizzata dal dispositivo. La gravità della situazione ha suscitato grande preoccupazione tra gli utenti e gli esperti di sicurezza informatica, che temono una possibile violazione dei dati personali custoditi dal dispositivo assistente IA.

Implicazioni sui servizi del Rabbit R1

Le API key identificate sono utilizzate per autenticare l'accesso a vari servizi essenziali per il funzionamento del Rabbit R1. Questi includono ElevenLabs per il text-to-speech, Azure per il speech-to-text, Yelp per la ricerca di recensioni, e Google Maps per le informazioni di geolocalizzazione. In seguito alla scoperta della vulnerabilità, Rabbit ha deciso di revocare l'API key di ElevenLabs, il che ha provocato dei disservizi temporanei per gli utenti del dispositivo. La misura presa è risultata fondamentale per mitigare il rischio immediato, ma ha evidenziato la criticità della questione di sicurezza.

Risposta e dichiarazioni della società Rabbit

In risposta alle preoccupazioni emerse, Rabbit ha pubblicato una dichiarazione ufficiale in cui ha affermato di essere stata informata di una possibile violazione dei dati solo il 25 giugno. Successivamente, ha riportato alla testata Engadget che il proprio team di sicurezza aveva avviato un'indagine immediatamente. Al momento, Rabbit sostiene di non aver trovato prove di accessi non autorizzati ai dati personali dei clienti o compromissioni dei propri sistemi. Tuttavia, la società ha promesso di fornire ulteriori aggiornamenti qualora dovessero emergere nuove informazioni rilevanti riguardo alla sicurezza del Rabbit R1 e alla protezione dei dati dei loro utenti.