Rabbit R1 je bezpečnostní pohromou, každý mohl číst data uživatelů
2.7.2024, Milan Šurkala, aktualita
Mobilní zařízení Rabbit R1 slibovalo být revolučním nástrojem pro ovládání mobilních aplikací, v zásadě jde ale o jednu pohromu za druhou. Tou další se ukázala být velmi podceněná bezpečnost.
V lednu bylo představeno zařízení Rabbit R1, které mělo být revolučním způsobem, jak ovládat mobilní aplikace s pomocí AI. Nakonec se ukázalo, že je v to v zásadě nepoužitelné těžítko za 200 USD. Veškerý "zázrak" byl v tom, že šlo o speciální mobilní aplikaci samu o sobě, která mohla pracovat s těmi ostatními. Jenže seznam podporovaných aplikací by se dal spočítat na prstech jedné ruky a ani to pořádně nefunguje, výdrž na baterii je velmi krátká. A teď tu máme další problém, tentokrát bezpečnostní. Jailbreak totiž ukázal, že aplikace má v sobě natvrdo zapsané API klíče ke službám třetích stran, takže bylo možné v podstatě monitorovat veškerou komunikaci Rabbitu s těmito službami.
Mezi nimi byl např. přístup k poskytovateli překladu textu na řeč od ElevenLabs, stejně tak bylo možné přistupovat na e-mailový server na doméně rabbit.tech a dostat se k e-mailovým komunikacím uživatelů nebo odesílat maily. Skupina Rabbitude, která tyto problémy prezentovala, se nechala slyšet, že je možné vyměnit nebo smazat data ze zařízení, a tak je udělat nefunkčními. API klíče byly dostupné také pro přístup k Microsoft Azure, Yelp a Google Maps.
Skupina také řekla, že tvůrci Rabbitu byli o problémech informováni už před měsícem, ale společnost neudělal žádné kroky k nápravě. To se stalo až pár dní zpět a tvrdí, že nedošlo k žádným únikům dat uživatelů, ohrožení jejich bezpečnosti ani ohrožení kritických systémů společnosti. Nicméně i kdyby bylo zařízení funkční, bezpečné a s dobrou výdrží, pořád má problém s tím, že neřeší žádný výraznější praktický problém a uživatel nosí a kupuje dvě zařízení (Rabbit+telefon) místo jednoho (telefon).