Вместе с новой возможностью полного удаления локальных пользовательских данных обновление программного обеспечения также устраняет еще одно вызывающее подозрения поведение R1. До обновления хранимые данные сопряжения, которые позволяют аппаратному обеспечению R1 добавлять вещи в журнал Rabbithole, также имели разрешение на чтение журнала. Это означает, что украденный и взломанный R1 мог бы потенциально передать сохраненные запросы пользователей, фотографии и многое другое.
С обновлением данные сопряжения R1 больше не могут читать журнал и не регистрируются на устройстве, а Rabbit сократила количество хранимых лог-данных на устройстве. Компания говорит, что «нет никаких признаков того, что данные сопряжения были злоупотреблены для извлечения журнальных данных rabbithole, принадлежащих бывшему владельцу устройства».
Бюллетень безопасности Rabbit показывает проблему как относительно незначительный риск, приводя пример того, что украденный и джейлбрейкнутый R1 мог бы раскрыть злоумышленнику последний запрошенный журнал погоды первоначальным владельцем. Исследователи безопасности в прошлом месяце обнаружили, что джейлбрейк устройства также мог бы раскрывать зашитые в коде API-ключи. Компания обещает улучшить практики безопасности и «предотвратить подобные проблемы в будущем», говоря, что проводит полный обзор практик регистрации устройств, чтобы гарантировать их соответствие стандартам, «установленным в других областях».
Источник: The Verge
