Saltar al contenido
Rabbit lanza un comunicado explicando los paso a seguir por si vas a vender o comprar el Rabbit r1 de segunda mano
Los fallos de seguridad siguen persiguiendo al Rabbit r1, y es que tras el anuncio de Rabbitude en el que hablaban del peligro de linkear cuentas el equipo ha descubierto un nuevo problema que nos ha puesto en alerta.
Este asunto trata acerca de la posibilidad de que tu dispositivo haya sido robado, lo hayas perdido o incluso si vas a comprar o vender el Rabbit r1 de segunda mano. Tenemos que saber cómo actuar para que no se pueda acceder a cuentas de terceros.
El anuncio oficial de Rabbit:
Como veis, nos recuerdan la necesidad —sobre todo si vas a vender tu Rabbit r1 de segunda mano— de que restaures los valores de fábrica. Es algo que parece obvio, pero que hasta el momento de la publicación estaba pendiente de implementar.
Afortunadamente nos derivan a un blog de la propia web de Rabbit.tech en el cual nos dan una serie de instrucciones para restablecer de fábrica el Rabbit r1.
Instrucciones para restablecer del fábrica el Rabbit r1
Según la entrada de seguridad del día 11 de julio de 2024, nos explican la siguiente situación. Para empezar, que hasta ese momento no existía una opción para restablecer de fábrica el Rabbit r1, lo cual era como poco algo necesario desde el principio.
Por otra, el peligro de que una persona que no fuese la propietaria original comprase el Rabbit r1 de segunda mano. También hablan de pérdida o robo del gadget, y es que todas estos escenarios llevaría a un fallo de seguridad crítico.
En cualquiera de estos casos, el nuevo propietario podría acabar haciendo jailbreak o desbloquear el dispositivo dándole acceso a las cuentas privadas del usuario original, con todo lo que ello conlleva. Vaya peligro…
Un ejemplo de cómo funcionaba hasta ahora:
- Recibí mi r1 y comencé a usarlo el 1 de junio.
- Los datos de emparejamiento se registraron en mi dispositivo.
- Estos datos de emparejamiento se utilizan para escribir datos en mi diario Rabbithole y activar acciones como «reproducir música» o «pedir comida».
- Estos datos de emparejamiento se podrían utilizar para leer datos de mi diario de Rabbithole.
- Le pregunté a mi r1: “¿Cómo está el clima en San Francisco?”
- La respuesta, “Hace 74 grados y está soleado en San Francisco”, quedó registrada en mi dispositivo.
- Vendí mi r1 a otra persona el 3 de junio.
- Esta persona podría potencialmente realizar un “jailbreak” del r1 y recuperar los archivos de registro que contienen “Hace 74 grados y está soleado en San Francisco” y los datos de emparejamiento.
A partir del 11 de julio, hemos realizado los siguientes cambios:
- Los datos de emparejamiento ya no se pueden usar para leer desde Rabbithole. Solo pueden activar acciones.
- Los datos de emparejamiento ya no se registran en el dispositivo.
- Hemos reducido la cantidad de datos de registro que se almacenan en el dispositivo.
- La opción Restablecer valores de fábrica ahora está disponible a través del menú de configuración. Los clientes deben usar esta opción para borrar TODOS los datos de su R1 antes de transferir la propiedad.
Las medidas de contención de Rabbit sobre este caso
Según comentan en la entrada, el equipo de seguridad no tiene constancia de que ningún usuario haya abusado de este problema. Según comentan independientemente de ello, han creído conveniente que sos usuarios lo sepamos.
Además, tal y como muestra la entrada, se está haciendo un repaso de las miles de interacciones para localizar casos de mal uso de esta vulnerabilidad, aunque de momento no hay más novedades que las ya comentadas.
Así que recuerda. Si te han robado vas a vender el Rabbit r1 de segunda mano, lo has perdido o te lo han robado, asegúrate de hacer un reinicio de fábrica para evitar problemas mayores.