Rabbit R1 보안 결함, 사용자 데이터 노출: 보고서

 

최근 보안 연구자 및 개발자 그룹인 'Rabbitude'가 Rabbit R1의 보안 결함을 발견하여 사용자 데이터를 제3자에게 노출할 수 있는 심각한 문제를 밝혀냈습니다.

Rabbitude의 발견

Rabbitude 그룹은 Rabbit R1의 코드베이스에서 하드코딩된 API 키를 발견했습니다.

이 키들을 통해 Rabbit의 계정에 접근하여 텍스트-음성 변환 서비스 제공업체인 ElevenLabs와 같은 제3자 서비스의 응답을 확인할 수 있었습니다.

또한, Rabbit의 엔지니어링 팀이 이메일을 발송하는 데 사용하는 SendGrid 계정에도 접근할 수 있었습니다.

보안 취약점의 심각성

Rabbitude는 이 API 키들을 통해 모든 Rabbit R1의 응답을 확인하고, 모든 R1 기기를 무력화하며, 응답을 변경하거나 모든 기기의 음성을 교체할 수 있다고 주장했습니다.

ElevenLabs API는 또한 음성을 삭제하거나 rabbitOS 백엔드를 충돌시켜 모든 R1 기기를 사용할 수 없게 만들 수 있습니다.

이 취약점은 Microsoft Azure, Yelp, Google Maps 등 여러 서비스에 영향을 미쳤습니다.

이러한 서비스들은 텍스트-음성 변환, 레스토랑 추천, 내비게이션 등에 사용됩니다.

Rabbit의 대응

Rabbit은 이 문제를 한 달 넘게 알고 있었지만, 정보를 보호하고 보안 취약점을 수정하기 위한 조치를 취하지 않았다고 합니다.

최근 보고서에 따르면, Rabbitude 팀은 Rabbit의 내부 관리자 이메일 주소에서 이메일을 보내 그들의 시스템 접근을 확인했습니다.

며칠 전, Rabbit은 문제를 조사 중이며 API 키를 교체했다고 발표했습니다.

회사는 또한 "우리의 중요한 시스템이나 고객 데이터의 안전이 손상된 흔적을 찾지 못했다"고 밝혔으며, "상황이 진전되는 대로 업데이트를 제공하겠다"고 했습니다.

Rabbit R1의 출시와 평가

올해 초에 출시된 Rabbit R1은 대부분의 리뷰에서 지연, 환각, 배터리 수명 문제로 인해 실망스럽다는 평가를 받았습니다.

회사는 기기를 개선하기 위해 업데이트를 롤아웃하고 있지만, R1은 여전히 기대에 미치지 못하고 있습니다.

결론

Rabbit R1의 보안 취약점은 사용자 데이터의 안전과 기기의 신뢰성을 위협하는 심각한 문제입니다.

사용자와 개발자는 보안에 더욱 신경을 써야 하며, 기업은 문제가 발견되었을 때 신속하게 대응해야 합니다.

앞으로 Rabbit이 어떻게 이 문제를 해결해 나갈지 지켜보는 것이 중요합니다.

 

 

 

 

Tester Share [테스터쉐어] - Google Play 앱

 

나비일기장 [수발일기장] - Google Play 앱