...

Los fallos de seguridad del Rabbit r1 ponen en alerta a los usuarios

Un equipo de investigadores manda un correo electrónico desde la cuenta de administrador evidenciando los fallos de seguridad del Rabbit r1

Según cuentan desde el portal 404media.co un grupo conocido como «rabbitude» ha sido capaz de enviar un correo desde la cuenta de mail oficial de los administradores de Rabbit Inc. dando a conocer una brecha de seguridad gravísima.

Este grupo de hackers se dedica desde la salida del dispositivo al jailbreak del r1. Según su propia web, comentan lo siguiente:

«Rabbitude es el proyecto general de ingeniería inversa para el r1. Revertimos, pirateamos y experimentamos con el r1 e informamos nuestros hallazgos públicamente. Rabbitude es construido por la comunidad junto con algunos miembros principales. En general, mejora la experiencia del r1».

Su objetivo es desentrañar el Rabbit r1 hasta lo más profundo para que los usuarios puedan modificar el sistema operativo, usar aplicaciones no permitidas de base y colaborar con otros investigadores desarrollando recursos editoriales compartidos.

La seguridad del Rabbit r1 y las API Keys

Según la investigación, Rabbit habría dejado al descubierto algunas claves API críticas codificadas y expuestas en su código. Este fallo de seguridad habría permitido ver y descargar «todas las respuestas r1 jamás dadas«

Entre esos fallos, los usuarios de Rabbitude habrían podido enviar mails desde los propios dominios de Rabbit. Esto implicaría un fallo en la seguridad del Rabbit r1 nunca visto hasta entonces. Más adelante veremos prueba de ello.

Parece que uno de los principales problemas fue la API key de Eleven Labs, la inteligencia artificial de texto y voz que usa el Rabbit r1 para su dispositivo y que parece que se vio vulnerada hace algunos días por este grupo.

No obstante, el día 26 de junio de 2024 Rabbitude lanzó un artículo en el que explicaba la situación con más detalle.

Según han argumentado, el día 16 de mayo de 2024, el equipo de Rabbitude obtuvo acceso al código base de Rabbit y encontró varias claves API codificadas críticas en su código.

Estas claves permitirían a cualquiera leer todas las respuestas que cada r1 haya dado, incluidas las que contienen información personal, bloquear todos los r1, alterar las respuestas de los dispositivos en incluso reemplazar la vez del gadget.

Las API vulneradas son las siguientes:

  • ElevenLabs (para conversión de texto a voz)
  • Azure (para un antiguo sistema de voz a texto)
  • Yelp (para búsquedas de reseñas)
  • Google Maps (para búsquedas de ubicación)

Parece ser que la clave que más permisos otorgaba era la de Eleven Labs, que entre otras cosas permitía obtener un historial de todos los mensajes de texto a voz anteriores, agregar reemplazos de texto personalizados o eliminar voces inutilizando así todos los dispositivos r1.

Como ves el poseer esta capacidad por parte de individuos desde fuera de la empresa generaba un fallo de seguridad en el Rabbit r1 altamente grave y con posibles consecuencias totalmente indeseables.

La respuesta de Rabbit a este suceso

Según cuentan en su web, Rabbitude confirma que desde Rabbit Inc. son conscientes de la situación y de la filtración de las claves API, pero según ellos han decidido ignorarla. Las claves de API siguen siendo válidas a día 26 de junio de 2024.

El grupo de investigadores cree que es importante que los consumidores sean conscientes de los fallos de seguridad de Rabbit, ya que pueden tener consecuencias devastadoras para los usuarios de r1.

Por parte de Rabbit parece que hay un comunicado en el que desmienten lo dicho por Rabbitude y afirman que:

“Hoy nos enteramos de una supuesta filtración de datos. Nuestro equipo de seguridad comenzó a investigarla de inmediato. Hasta el momento, no tenemos conocimiento de ninguna filtración de datos de clientes ni de ningún compromiso de nuestros sistemas. Si nos enteramos de cualquier otra información relevante, proporcionaremos una actualización una vez que tengamos más detalles”.

Así que en este momento no tenemos claro a quien creer.

Los mails enviados desde las cuentas de Rabbit

Los correos electrónicos enviados a 404media.co

La solución de Rabbit a los fallos de seguridad

Después de todo parece que Rabbit se ha puesto en marcha para intentar arreglar los problemas con las claves API vulneradas pero según algunos usuarios de X.com han acabado rompiendo algunos sistemas tras intentar solucionarlo.

Esperemos que todo se aclare pronto y consigan tapar los fallos, ya que una vulnerabilidad así de importante podría destruir todo el proyecto.

¿Te gusta leer?

Prueba Amazon Kindle Unlimited totalmente GRATIS durtante los primeros 30 días

Relacionados

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

¿Dudas con la tecnología? Escríbeme en mis redes.