Enorme problema di sicurezza per Rabbit R1? Sul Web si consiglia di disconnettere l'account ma ancora non ci sono certezze

Rabbit R1 non solo non sarebbe il dispositivo che molti avrebbero sperato, ma a quanto pare avrebbe anche un enorme problema di sicurezza, tanto che su rabbitude si consiglierebbe di disconnettere il proprio account. 

Andiamo a scoprire cosa sta succedendo e cosa ha risposto l'azienda (lo anticipiamo subito, finora non ci sono comunicazioni).

Gli appassionati di Rabbit R1 conosceranno rabbitude, un sito gestito da appassionati che sperimentano con il dispositivo per permettere modificazioni e jailbreak, e pubblicano le loro risorse per permettere ad altri di lavorarci. 

Proprio ieri il sito ha pubblicato un avvertimento estremamente urgente (riportato su X), in cui avvertono gli utenti che Rabbit R1 consentirebbe una fuga di dati. Praticamente un malintenzionato potrebbe accedere al dispositivo e potenzialmente scaricare tutte le risposte mai fornite dal dispositivo. 

Stando a quanto riportato, il team di rabbitude sarebbe riuscito ad accedere al codice del dispositivo, provando che chiunque potrebbe non solo accedere alle risposte, ma anche

• bloccare i dispositivi eliminando le voci e così interrompendo il backend rabbitOS, rendendo così inutili tutti i dispositivi r1
• alterare le risposte (per esempio da "r1" a "ar one")
• modificare la voce
• ottenere tutti i messaggi da testo a voce

La scoperta sarebbe legata a diverse API che sarebbero state introdotte nel codice sorgente usando valori costanti (hard coded): ElevenLabs (per il text-to-speech), Azure (per un vecchio sistema speech-to-text), Yelp (per recuperare le recensioni), Google Maps (per la localizzazione).

Secondo rabbitude, il problema maggiore risiederebbe nell'API ElevenLabs, ma la notizia più inquietante è che queste scoperte sono avvenute il 16 maggio e sarebbero state comunicate tempestivamente a Rabbit. Senza che l'azienda effettuasse nessuna azione a riguardo. 

Rabbitude consiglia agli utenti di scollegare l'account rabbithole, che gestisce i servizi connessi, ma non pubblicherà altre informazioni per proteggere gli utenti. Su X Ryan Boyle va oltre, consigliando di cambiare tutte le password e scollegare tutti gli account.

This whole thing is so insane. I did this a few weeks ago but if you have a Rabbit R1, I recommend delinking any accounts, changing passwords, and deleting any data where possible. Rabbit does not have a good security track record, and who knows what data has already been… https://t.co/rjTYSdnify

— Ryan Boyle (@_RyanBoyle_) June 25, 2024

Fin qui abbiamo visto il parere degli utenti, ma l'azienda? Sul sito ufficiale e sui social non ci sono risposte o commenti. Secondo @xyzeva, un esponente di rabbitude molto attivo su X, poche ore fa Rabbit avrebbe revocato l'API ElevenLabs, il che sarebbe risultato nel brick di ogni dispositivo in quanto si sarebbero scordati di aggiornare la chiave sul server.

rabbit has now revoked the elevenlabs api key breaking literally every r1, cause they forgot to update their key on the server.

— xyzeva (@xyz3va) June 25, 2024

Riportiamo quanto affermato su X, ma sembrerebbe strano, perché altrimenti tutti i proprietari, seppur pochi, si sarebbero riversati sui social a esprimere quantomeno il loro scontento. 

Purtroppo, in mancanza di ulteriori informazioni non possiamo che riportare quanto successo senza confermare. Tenete presente che si tratta sempre si rapporti di terzi e che non c'è niente di certo, ma nondimeno non è una bella pubblicità per un dispositivo che comunque non ha ricevuto recensioni particolarmente positive. 

Aggiorneremo l'articolo non appena arriveranno altre notizie a riguardo.