Τα IKKO Activebuds τρέχουν Android με ενεργοποιημένο ADB από το εργοστάσιο.
Το κλειδί OpenAI API αποθηκεύεται τοπικά και επικοινωνεί απευθείας με το api.openai.com.
Το ιστορικό συνομιλιών καταγράφεται σε διακομιστές chat1.chat.iamjoy.cn χωρίς επαρκή έλεγχο ταυτότητας.
Η εφαρμογή συνοδείας ανακτά συνομιλίες μόνο με το αναγνωριστικό συσκευής (IMEI), χωρίς χρήση λογαριασμού.
Μπορεί να κατασκευαστεί ψεύτικο QR code σύνδεσης με οποιοδήποτε IMEI.
Αποκαλύπτονται πλήρη ονοματεπώνυμα χρηστών και κρυφές συνομιλίες με απλή API κλήση.
Παρά τις διορθώσεις, παραμένει δυνατό να συνδεθεί μη εξουσιοδοτημένη συσκευή αν δεν έχει δεσμευτεί.
Η περιστροφή του παλιού κλειδιού έγινε καθυστερημένα και νέες επιθέσεις IMEI παραμένουν δυνατές.
Η εταιρεία εισήγαγε έλεγχο IMEI και proxy API χωρίς αυθεντικοποίηση, εκθέτοντας ακόμα κίνδυνο.
Get notified when new stories are published for "🇬🇷 Hacker News Ελληνικά"