Thought Leadership
Eine kritische Sicherheitslücke wurde im virtuellen Assistenten Rabbit R1 entdeckt. Laut Berichten hat das Unternehmen Rabbit mehrere wichtige API-Schlüssel direkt im Quellcode des Geräts hinterlegt, was potenziell Nutzerdaten für Hacker zugänglich macht.
Die Schwachstelle wurde von einer Gruppe von Community-Forschern namens Rabbitude aufgedeckt. Sie geben an, Zugriff auf den Quellcode des R1 erlangt und dort kritische Schlüssel gefunden zu haben. Diese Schlüssel ermöglichen unter anderem das Lesen aller bisherigen R1-Antworten, einschließlich persönlicher Informationen, sowie die Manipulation von Antworten und Stimmen aller R1-Geräte.
Betroffen sind API-Schlüssel für verschiedene Dienste, darunter ElevenLabs (Text-to-Speech), Azure, Google Maps, Yelp und der E-Mail-Anbieter SendGrid. Besonders kritisch ist der Zugriff auf das Text-to-Speech-Tool ElevenLabs, der es ermöglicht, den Verlauf aller Text-to-Speech-Nachrichten einzusehen und zu manipulieren.
Rabbit wurde laut Rabbitude bereits im Mai über die Schwachstelle informiert, hat aber zunächst keine Maßnahmen ergriffen. Das Unternehmen erklärt, am 25. Juni von dem Problem erfahren und umgehend reagiert zu haben. Die betroffenen API-Schlüssel wurden rotiert, was zu einer kurzzeitigen Ausfallzeit der Geräte führte.
Rabbit betont, dass nach bisherigem Kenntnisstand keine Kundendaten kompromittiert wurden. Das Unternehmen untersucht den Vorfall weiterhin.
Experten kritisieren, dass API-Schlüssel niemals direkt im Quellcode eingebettet sein sollten, da sie sensible Informationen enthalten und Zugriff auf wichtige Dienste ermöglichen.
Dieser Vorfall reiht sich in eine Serie von Problemen ein, die seit dem Start des Rabbit R1 Ende April aufgetreten sind, darunter fehlende Grundfunktionen und die Tatsache, dass die gesamte Benutzeroberfläche des Geräts auf einer einzelnen Android-App basiert.
