IKKO Activebuds basati su Android avviano ChatGPT comunicando direttamente con l’API di OpenAI, e la chiave API è memorizzata sul dispositivo.
L’ADB è abilitato di default, consentendo il sideloading di applicazioni e l’estrazione dell’APK per recuperare endpoint e credenziali.
Oltre a api.openai.com, il dispositivo comunica con server chat1.chat.iamjoy.cn, chat2.chat.iamjoy.cn e altri endpoint potenzialmente non autorizzati.
Le chat dell’utente vengono registrate su server proprietari identificati dall’IMEI, senza autenticazione aggiuntiva.
L’app companion consente di scaricare la cronologia chat semplicemente conoscendo l’IMEI, esponendo conversazioni sensibili.
È possibile generare QR code di binding arbitrari per collegare dispositivi non ancora associati e ottenere dati degli utenti, incluso il nome completo.
IKKO ha introdotto aggiornamenti che richiedono una firma per l’accesso alle chat e un check dell’IMEI, ma persistono rischi di binding non autorizzato.
Get notified when new stories are published for "🇮🇹 Hacker News Italiano"