Øreproppene kjører Android med ADB aktivert, og gir dermed enkel systemtilgang.
Innebygget OpenAI API-nøkkel finnes ukryptert i appen og kan eksponeres via APK-uttrekking.
Samtaler fra brukerne logges til egen server uten tilstrekkelig autentisering, kun med enhetens IMEI.
Kompani-appen lar hente hele chatthistorikken kun ved å kjenne IMEI, uten behov for konto-token.
Det er mulig å generere QR-koder for enhver IMEI for å koble enheter til appen eller avdekke brukernavnet.
Ondsinnede meldinger kan injiseres i andre brukeres apper gjennom samtalelogg-endepunktet.
Produsenten har innført signaturkrav, IMEI-sjekk og rotert API-nøkkel, men enkelte sikkerhetssvakheter gjenstår.
Get notified when new stories are published for "🇳🇴 Hacker News Norsk Bokmål"