Ningún dispositivo está a salvo de piratas informáticos con mucho tiempo y experiencia, y el Rabbit R1 no es una excepción. El equipo de investigación de Cybernews descubrió que la caja naranja es vulnerable a un exploit público denominado Kamakiri. Este exploit se ha divulgado desde enero de 2019 y afecta a varios sistemas en chip (SoC) de MediaTek.
Rabbit R1 se ejecuta en el SoC MediaTek MT6765V, que tiene ocho núcleos Arm en una configuración big.LITTLE, similar a las que se usaban en los teléfonos económicos hace unos años. El exploit permite a un atacante con acceso físico al dispositivo obtener los privilegios más altos, acceder y editar contenidos de almacenamiento y modificar el firmware del dispositivo.
“Esta vulnerabilidad permite que un tercero con acceso físico modifique el firmware del dispositivo para agregar código malicioso. Eso incluye no sólo aplicaciones, sino que también se podría inyectar código malicioso en el núcleo o en los procesos del sistema”, dijeron los investigadores.
Kamakiri es un exploit ampliamente utilizado para piratear y modificar dispositivos Android. Permitió a los investigadores deshacerse del firmware original de Rabbit R1, modificarlo, deshabilitar el arranque verificado de Android, instalar y ejecutar el firmware modificado.
Los expertos utilizan este tipo de exploits para obtener privilegios de root, cambiar configuraciones, instalar sistemas operativos personalizados y agregar funciones o aplicaciones. Por ejemplo, un Rabbit R1 con jailbreak podría overclockearse, ejecutar la aplicación TikTok, el emulador de NES o cualquier otro código. Sin embargo, los actores maliciosos también pueden encontrar muchos usos.
“La vulnerabilidad efectivamente elude las protecciones del propietario y permite a los ladrones borrar, restablecer los valores de fábrica y revender el dispositivo, anulando la funcionalidad ‘Marcar como perdido’. Comprar el dispositivo de segunda mano conlleva un gran riesgo, ya que los usuarios no podrán comprobar si el dispositivo ha sido manipulado y qué software se ejecuta en él”, advierten los investigadores.
Los piratas informáticos podrían modificar fácilmente el dispositivo con puertas traseras que rastrean toda la actividad del usuario en el dispositivo, acceder de forma remota al micrófono, la cámara y las entradas, escanear la red doméstica en busca de otros dispositivos y vulnerabilidades, llevar a cabo ataques DDoS o usar la IA en la caja para otros propósitos nefastos.
Aunque es posible que los críticos de tecnología no hayan dado comentarios favorables al Rabbit R1, los desarrolladores de Rabbit Inc. están agregando nuevas características y afirman que es el dispositivo de inteligencia artificial más vendido, con más de 100.000 unidades vendidas.
¿Cómo funciona el exploit?
Una revisión inicial del dispositivo reveló que Rabbit OS se ejecuta en Android 13, lanzado el 15 de agosto de 2022. Su parche de seguridad más reciente tiene fecha del 5 de mayo de 2023.
El firmware contenía un paquete de soporte de placa Mediatek prácticamente sin modificar, con un puñado de aplicaciones instaladas. El usuario interactúa principalmente con el APK de RabbitLauncher, que actúa como una interfaz de usuario y maneja las experiencias conectadas con los servidores de Rabbit. Esta aplicación maneja toda la lógica y funcionalidad del dispositivo.
Los investigadores también desmontaron el dispositivo y encontraron lo que parecía ser una interfaz de depuración. Sin embargo, resultó estar deshabilitado o utilizado para otros fines.
“Al intentar interactuar con el dispositivo, descubrimos que se puede establecer una conexión USB cuando el dispositivo está apagado. Los exploits públicos de Kamakiri permiten eludir los controles de autenticación y seguridad, así como acceder al almacenamiento del dispositivo. Deshacerse del firmware original llevó más de 24 horas utilizando herramientas especializadas. Sin embargo, era necesario para un análisis y una copia de seguridad”, se lee en el informe.
El exploit habilitó opciones para restablecer los valores de fábrica del dispositivo y eliminar datos y metadatos del usuario.
Junto con el conjunto de aplicaciones de MediaTek, el dispositivo incluye aplicaciones adicionales como “RabbitLauncher”, “RabbitIme” y “R1SystemUpdater”. El archivo “Build.prop” reveló variables y configuración del sistema.
Fuentes en Internet sugirieron que cambiar las variables “ro.secure”, “ro.adb.secure” y “ro.debuggable” habilite ADB (Android Debug Bridge) en el arranque. El firmware del dispositivo tenía ADB originalmente deshabilitado. Los desarrolladores suelen utilizar ADB para acceder a diversas funciones del sistema a las que no pueden acceder los usuarios normales.
“Una vez que estos cambios se mostraron en el dispositivo, cargó el modo fastboot y se negó a iniciar la imagen sin firmar. Con algunos pasos adicionales, pudimos deshabilitar el arranque verificado de Android y hacer que el dispositivo arranque con el nuevo firmware. Otros desarrolladores compartieron jailbreak similares en GitHub”, señalaron los investigadores.
Demuestra que es posible instalar un proyecto de código abierto de Android normal en Rabbit R1, como en cualquier otro dispositivo Android, con algunas modificaciones. El equipo de investigación de Cybernews pudo agregar nuevas aplicaciones y modificar la configuración del sistema. El dispositivo también es capaz de ejecutar código malicioso.
Nuestros investigadores también notaron que este método hacía que el dispositivo mostrara un mensaje de advertencia en cada arranque, indicando que ejecuta firmware desbloqueado y potencialmente peligroso. Si bien existen posibles soluciones para eliminar estas advertencias, los investigadores no lo intentaron debido a limitaciones de tiempo.
“Todo el acceso que se obtuvo fue posible gracias al exploit “Kamakiri”. Este exploit se lanzó en enero de 2019. Esta vulnerabilidad utiliza una condición de desbordamiento del búfer como derivación de seguridad para leer y escribir en todo el chip flash (eMMC). En consecuencia, un atacante puede volcar o reemplazar el firmware almacenado en él”, concluyeron los investigadores.
Evite los Rabbit R1 usados o vendidos por terceros
Debido a las decisiones de diseño y seguridad del software de Rabbit R1, el dispositivo proporciona funciones y configuraciones limitadas con las que el usuario puede interactuar. Puede parecer que esto mejora la seguridad del dispositivo, aunque tiene múltiples desventajas. Los usuarios no pueden identificar si hay código malicioso presente en sus dispositivos ni eliminarlo. Además, no hay forma de restablecer un dispositivo a los valores de fábrica.
“Un posible vector de ataque podría ser aprovechado por actores maliciosos que vendan dispositivos manipulados en eBay u otras plataformas. Ya antes se habían producido incidentes similares con otros dispositivos Android, como por ejemplo los descodificadores de TV”, advierten los investigadores.
Para eliminar cualquier código potencialmente malicioso del dispositivo y restablecerlo a su estado original, el usuario necesitaría conocimientos técnicos para utilizar los exploits disponibles, así como una copia del firmware Rabbit R1 original, que la empresa no proporciona.
Rabbit R1 almacena los datos personales del usuario en el dispositivo. Si bien está cifrado de forma segura mediante claves de hardware y, por lo tanto, no es de fácil acceso, esta es otra consideración a tener en cuenta antes de comprar un dispositivo usado o intentar venderlo.
Los investigadores advierten contra la repetición de este experimento en casa o la manipulación del firmware del hardware de cualquier forma. Esto anula la garantía, carece de un procedimiento documentado y conlleva el riesgo de bloquear el dispositivo o comprometer su seguridad, estabilidad o funcionalidad.
El Rabbit R1 se anunció en enero de 2024 y los primeros dispositivos se enviaron en abril de 2024. Rabbit Inc. recaudó al menos 30 millones de dólares en financiación para el proyecto.
Rabbit dijo que realizaron una serie de cambios en la actualización del software la semana pasada para abordar la seguridad. La opción Restablecer valores de fábrica ahora está disponible a través del menú de configuración. Los clientes deben utilizar esta opción para borrar todos los datos de su R1 antes de transferir la propiedad. Rabbit también redujo la cantidad de datos de registro almacenados en el dispositivo y los datos de emparejamiento no se pueden registrar ni usar para leer desde el dispositivo.
