ثغرة خطيرة في جهاز Rabbit R1 تُهدد خصوصية المستخدمين!
كشف فريق Rabbitude، وهو مشروع عكسي مفتوح المصدر لجهاز Rabbit R1 الذكي، عن ثغرة أمنية خطيرة تُعرّض بيانات المستخدمين الشخصية للخطر.
وبحسب ما نشره الفريق على موقعه الإلكتروني، فقد تمكنوا من الوصول إلى قاعدة بيانات Rabbit في 16 مايو الماضي، واكتشفوا وجود «مفاتيح API أساسية متعددة» مُخزّنة بشكل غير آمن.
تُتيح هذه المفاتيح لأي شخص الوصول إلى جميع ردود جهاز R1 دون قيود، بما في ذلك تلك التي تحتوي على معلومات شخصية للمستخدمين.
ويمكن استغلال هذه الثغرة أيضًا لشلّ أجهزة Rabbit R1 بشكل كامل، أو تغيير ردودها، أو حتى استبدال صوتها.
وتشير المعلومات إلى أن هذه المفاتيح تُستخدم للتحقق من صحة وصول المستخدمين إلى خدمات مثل ElevenLabs لتحويل النص إلى كلام، و Azure لتحويل الكلام إلى نص، و Yelp للبحث عن مراجعات الأماكن، و Google Maps للبحث عن المواقع على جهاز R1.
وعلى الرغم من إخطار الشركة بهذه الثغرة قبل شهر، إلا أنها لم تتخذ أي خطوات لحلها، حسب ما أكده أحد أعضاء فريق Rabbitude على منصة إكس.
وبعد نشر فريق Rabbitude لاكتشافهم، قامت Rabbit بإلغاء مفتاح واجهة برمجة تطبيقات Elevenlabs، مما أدى إلى تعطل أجهزة R1 لبعض الوقت.
وفي بيان رسمي، نفت Rabbit علمها بحدوث «خرق بيانات» إلا في 25 يونيو، مؤكدة على بدء تحقيق فوري من قبل فريقها الأمني.
ذو صلة > ما هي حقيقة Rabbit R1.. هل هو جهاز متخصص أم تطبيق أندرويد؟ الشركة تُجيب
وأعلنت الشركة أنها ستُصدر تحديثًا في حال توفر أي معلومات جديدة، دون أن تُؤكد أو تنفي إلغاء المفاتيح التي اكتشفها فريق Rabbitude.
يُذكر أن جهاز Rabbit R1 هو مساعد ذكي مستقل تم تصميمه بواسطة Teenage Engineering.
ويهدف الجهاز إلى مساعدة المستخدمين في إنجاز بعض المهام، مثل طلب الطعام أو البحث عن معلومات مثل الطقس.
ولكن الجهاز واجه انتقادات حادة لعدم كفاءة وظائفه الذكية، بالإضافة إلى إمكانية استبدالها بسهولة باستخدام الهاتف الذكي، مما يجعل شراءه مقابل 199 دولار غير منطقي.