Recentemente, a comunidade de desenvolvedores do Rabbit R1 de nome Rabbitude expôs severas falhas de segurança no dispositivo Rabbit R1, podendo comprometer gravemente a privacidade e segurança dos dados dos usuários. O Rabbit R1, que surgiu em meio a polêmicas e críticas desde o seu lançamento em abril, opera com base no sistema Android AOSP e prometia uma nova experiência em capacidade de comando para ação. No entanto, seu lançamento apressado levantou questionamentos sobre sua eficácia e segurança.
Os desenvolvedores da Rabbitude descobriram que foram capazes de acessar o código-fonte do Rabbit R1 e, para sua surpresa, encontraram chaves de API inseridas diretamente no código, um método altamente inseguro de armazenamento que pode facilitar o trabalho de hackers. Com essas chaves, indivíduos mal-intencionados poderiam não apenas acessar dados confidenciais, mas também alterar as funcionalidades do dispositivo, como as respostas e a voz do sistema.
Entre os serviços que utilizam a API e que estão em risco estão o Azure, Yelp, Google Maps, entre outros. A maior preocupação recai sobre a Eleven Labs, cuja chave de API poderia permitir acesso completo ao histórico de mensagens e alterar ou excluir as vozes do sistema, podendo causar uma inoperância do RabbitOS.
A grave falha de segurança foi comunicada à Rabbit desde maio, mas, a despeito disto, a empresa alegou recentemente não ter conhecimento de qualquer vazamento de dados de clientes ou comprometimento de seus sistemas. A empresa chegou a revogar quatro chaves de API após a divulgação da vulnerabilidade, o que causou um colapso temporário do sistema, contradizendo suas afirmações de que o problema não havia causado danos.
O grupo Rabbitude seguiu em seus esforços para divulgar as falhas de segurança, provando a exploração potencial por meio do envio de um e-mail através do subdomínio oficial do Rabbit com o SendGrid, demonstrando o risco associado ao uso do dispositivo.
Esse incidente de segurança coloca o Rabbit R1 em uma luz negativa e leva a questionamentos sobre a confiabilidade de dispositivos lançados sem devida atenção à segurança de dados dos usuários. O caso serve como um alerta para a comunidade tecnológica sobre a importância de realizar avaliações de segurança meticulosas antes de lançar qualquer produto no mercado.
