Um grupo de entusiastas do Rabbitude que fazem engenharia reversa do dispositivo Rabbit R1 AI descobriu um problema de segurança em seu código que pode expor informações confidenciais do usuário ao público.
Fonte da imagem: coelho.tech
Os entusiastas do Rabbitude relataram que em 16 de maio conseguiram obter acesso à base de código do Rabbit, na qual descobriram “várias chaves de API codificadas críticas”. O acesso a essas chaves dá a qualquer pessoa a capacidade de ler qualquer resposta que o dispositivo R1 já tenha dado, incluindo respostas que contenham informações pessoais dos usuários. Esses dados também podem ser usados para bloquear dispositivos, alterar suas respostas e alterar sua voz.
As chaves de API descobertas pelos entusiastas fornecem acesso ao serviço de conversão de texto em fala ElevenLabs, ao mecanismo de conversão de fala em texto do Azure, ao serviço de pesquisa de revisão do Yelp e ao serviço de mapeamento do Google Maps. Um colaborador do Rabbitude disse que a empresa estava ciente do problema desde maio e “não fez nada para corrigi-lo”. Depois que o problema se tornou público, dizem os entusiastas, o Rabbit revogou a chave da API ElevenLabs, o que impediu que os dispositivos R1 funcionassem corretamente por algum tempo.
Rabbit disse ao Engadget que só soube da “suspeita de violação de dados” em 25 de junho. “Nosso departamento de segurança iniciou imediatamente uma investigação. Neste momento, não temos conhecimento de qualquer violação de dados de clientes ou de qualquer comprometimento dos nossos sistemas. Caso tomemos conhecimento de qualquer outra informação relevante, atualizaremos assim que tivermos mais detalhes”, acrescentou a empresa. O fabricante não relatou um recall das chaves de API descobertas pelo Rabbitude.
Rabbit R1 é um dispositivo assistente baseado em IA que facilita ao usuário a resolução de tarefas como pedir comida, pesquisar informações na Internet ou solicitar previsão do tempo. Depois de chegar à venda por US$ 199, o gadget recebeu avaliações baixas nas análises porque as funções prometidas pela fabricante muitas vezes não funcionavam – e em geral, elas cabem principalmente em um único aplicativo Android, o que significa que se você tiver um smartphone, não há necessidade deste gadget.