事实证明绝对不要相信任何网站、应用、硬件开发商所说的通过多种方式加密并保护用户隐私,没被发现问题前都说是隐私为先、高强度加密,一旦被发现问题就会让人知道这些开发商在安全方面的工作是多么脆弱。
RabbitR1是一款AI问答玩具,即内置麦克风和网络连接,用户可以直接通过RabbitR1与AI模型进行语音对话,这个小硬件此前有着非常高的热度。
和大多数硬件开发商一样RabbitR1的制造商在官网宣传使用多种安全措施保护用户隐私,但在最近安全研究人员发现RabbitR1使用硬编码的API,拿到这个API后可以查询用户的所有问答和私密信息。
RabbitR1使用的API包括文本转语音服务ElevenLabs、Azure文本转语音系统、通过Yelp调用的商品评价和用于谷歌地图调用位置信息的接口。
这些API密钥可以被用来:
查看用户与R1的所有对话内容
远程破坏R1的后端服务从而让所有R1变砖
改变R1的对话响应
替换R1的声音输出
这家制造商的基础安全系统也存在安全漏洞,研究人员直接入侵了该系统并使用其电子邮件系统发送邮件来证明自己成功入侵,4月份已经执行过类似操作但并未被发现,最近研究人员又测试了一次漏洞还是没有被修复。
值得注意的是制造商Rabbitude其实知道RabbitR1中存在此类安全问题,但没有采取任何措施修复问题也没有发布任何安全公告。
研究人员至今不愿意透露漏洞的细节是因为他们不希望用户暴露在风险中,而不是出于对这家制造商的尊重,因为公布漏洞细节的话可能会给很多用户带来严重的安全问题。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】