De Activebuds hadden standaard ADB-ingang ingeschakeld, waardoor volledige toegang tot het apparaat mogelijk was.
De onversleutelde OpenAI API-sleutel stond in de app en kon eenvoudig worden blootgelegd.
Chatgeschiedenis en systeemlogs werden naar een eigen server gestuurd en waren via een inadequaat beveiligde API alleen met het apparaat-IMEI opvraagbaar.
Door willekeurige IMEI-waardes te raden en QR-bindingcodes te genereren, kon men andermans chatgeschiedenis en gebruikersnaam inzien.
De companion-app bleek geen strikte authenticatie te gebruiken, waardoor berichteninjectie mogelijk was.
Na melding heeft de fabrikant in eerste instantie alleen een onderhoudsmodus en updates doorgevoerd, waaronder een ondertekende API-aanroep.
Ondanks patches blijven er risico’s: QR-binding zonder geldige authenticatie omzeilen, en oude sleutels op apparaten niet volledig vervangen.
In de update van 13-01-2025 werden IMEI-controles en een proxy-API toegevoegd, maar deze vereisen nog steeds minimale of geen verificatie.
Get notified when new stories are published for "🇳🇱 Hacker News Dutch"