Supuesta vulnerabilidad de seguridad Rabbit R1 deja datos sensibles de usuarios al alcance de cualquiera

El equipo detrás de Rabbitude, el proyecto de ingeniería inversa formado por la comunidad para el Rabbit R1, ha revelado el descubrimiento de un problema de seguridad en el código de la compañía que deja la información sensible de los usuarios accesible para cualquier persona. En una actualización publicada en el sitio web de Rabbitude, el equipo mencionó que obtuvo acceso a la base de código de Rabbit el 16 de mayo y encontró "varias claves de API críticas codificadas de forma permanente". Estas claves permiten a cualquier persona leer cada respuesta que el dispositivo de inteligencia artificial R1 ha brindado, incluidas aquellas que contienen información personal de los usuarios. También podrían ser utilizadas para inutilizar los dispositivos R1, alterar las respuestas del R1 y reemplazar la voz del dispositivo.

Las claves de API que encontraron autentican el acceso de los usuarios al servicio de texto a voz de ElevenLabs, al sistema de voz a texto de Azure, a Yelp (para búsquedas de reseñas) y a Google Maps (para búsquedas de ubicación) en el dispositivo de inteligencia artificial R1. En un tuit, uno de los miembros de Rabbitude mencionó que la compañía tenía conocimiento del problema desde el mes pasado y "no hizo nada para solucionarlo". Después de que lo hicieron público, indicaron que Rabbit revocó la clave de API de ElevenLabs, aunque la actualización causó problemas en los dispositivos R1 por un tiempo.

En un comunicado enviado a Engadget, Rabbit afirmó que solo tuvo constancia de una "supuesta violación de datos" el 25 de junio. "Nuestro equipo de seguridad comenzó a investigarlo de inmediato", continuó la empresa. "Hasta este momento, no tenemos conocimiento de que se haya filtrado ningún dato del cliente ni de que se haya comprometido nuestro sistema. Si conocemos alguna otra información relevante, la proporcionaremos una vez que tengamos más detalles". No mencionaron si revocaron las claves que el equipo de Rabbitude afirmó haber encontrado en el código de la compañía.

El Rabbit R1 es un dispositivo independiente de asistente de inteligencia artificial diseñado por Teenage Engineering. Está destinado a ayudar a los usuarios a realizar ciertas tareas, como hacer pedidos de comida, así como a buscar rápidamente información como el clima. Le dimos una puntuación bastante baja en nuestra reseña, porque encontramos que su funcionalidad de inteligencia artificial a menudo no funcionaba. Además, los usuarios pueden simplemente utilizar su teléfono en lugar de tener que gastar $199 adicionales en comprar el dispositivo.