.
Junto com a nova capacidade de excluir completamente os dados locais do usuário, a atualização do software também aborda outro comportamento surpreendente do R1. Antes da atualização, os dados de pareamento armazenados que permitem que o hardware do R1 adicione coisas ao diário do Rabbithole também tinham permissão para ler o diário. Isso significa que um R1 roubado e hackeado poderia potencialmente ter entregue solicitações salvas, fotos e muito mais dos usuários.
Com a atualização, os dados de pareamento do R1 não podem mais ler o diário e não são mais registrados no dispositivo, e o Rabbit reduziu a quantidade de dados de registro armazenados no dispositivo. A empresa diz que não há “nenhuma indicação de que os dados de pareamento tenham sido abusados para recuperar dados do diário do rabbithole pertencentes a um antigo proprietário do dispositivo”.
O boletim de segurança do Rabbit pinta o problema como um risco relativamente inconsequente com seu exemplo de que um R1 roubado e desbloqueado poderia revelar a um malfeitor o último registro meteorológico solicitado pelo proprietário original. Pesquisadores de segurança descobriram no mês passado que um desbloqueio do dispositivo também poderia distribuir chaves de API codificadas. A empresa promete melhorar as práticas de segurança e “prevenir problemas semelhantes no futuro”, dizendo que está realizando uma revisão completa das práticas de registro do dispositivo para garantir que ele esteja alinhado com seus padrões “definidos em outras áreas”.
.
