Non esiste un dispositivo tech che possa davvero considerarsi al sicuro dai criminali informatici. Come rivelato dai ricercatori di Cybernews, anche il gadget AI Rabbit R1 è vulnerabile all’exploit pubblico – ossia un codice o un software che sfrutta la vulnerabilità di un sistema informatico – denominato Kamakiri, noto dal 2019 per colpire i dispositivi dotati di chip (SoC) MediaTek. Più nel dettaglio, come riferito dai ricercatori, “questa vulnerabilità consente a una terza parte con accesso fisico di modificare il firmware del dispositivo per aggiungervi codice dannoso”. Sfruttando l’exploit, infatti, il team di Cybernews è riuscito a scaricare il firmware originale di Rabbit R1, modificarlo, disabilitare l’avvio verificato di Android, installare ed eseguire il firmware modificato.
Quello che possono fare i criminali sfruttando l’exploit, invece, è ben diverso. “La vulnerabilità aggira efficacemente le protezioni del proprietario – scrivono i ricercatori – e consente ai ladri di cancellare, ripristinare le impostazioni di fabbrica e rivendere il dispositivo, annullando la funzionalità ‘Segna come perso’”. Proprio per questo, gli utenti devono stare molto attenti ad acquistare un gadget di seconda mano, perché non possono sapere se “è stato manomesso e quale software vi è in esecuzione”. Anzi, i criminali potrebbero addirittura modificare il dispositivo con backdoor che tracciano di nascosto le attività degli utenti, accedere da remoto alla fotocamera, scansionare la rete domestica a cui è collegato per attaccare altri dispositivi, o utilizzare l’intelligenza artificiale di Rabbit R1 per i loro scopi più loschi.
Insomma, Kamakiri può rivelarsi davvero pericoloso per i proprietari del dispositivo. Proprio per questo, la società madre del Rabbit R1 ha dichiarato che sta lavorando per rafforzare la sicurezza lato hardware, ed evitare che possano presentarsi situazioni spiacevoli in futuro. “Pur abbracciando lo spirito di innovazione, dobbiamo mettere in guardia dalla manomissione o dal jailbreak dell’R1. In questo modo l’utente viene disconnesso dall’ecosistema sicuro di Rabbit e, purtroppo, non saremo in grado di offrire il supporto necessario in caso di problemi”, chiosa l’azienda, cercando di mettere in guardia i suoi utenti dai pericoli dell’acquistare un dispositivo di seconda mano.
Fonte : Wired