Exploração de Vulnerabilidades nos IKKO ActiveBuds

Os ActiveBuds rodam Android e têm ADB ativado, permitindo acesso direto ao sistema.

A chave de API da OpenAI foi extraída do dispositivo e permanece armazenada localmente.

As conversas dos utilizadores são enviadas a um endpoint inseguro autenticado apenas pelo IMEI.

É possível gerar QR codes para vincular dispositivos alheios e aceder ao histórico e nome de utilizador.

Após reporte, exigiram assinatura no endpoint e rotacionaram a chave, mas chaves antigas e métodos de ligação continuam vulneráveis.

Get notified when new stories are published for "🇵🇹 Hacker News Português"

No Sign-In needed. One-Click Subscribe.

•

Os ActiveBuds rodam Android e têm ADB ativado, permitindo acesso direto ao sistema.

A chave de API da OpenAI foi extraída do dispositivo e permanece armazenada localmente.

As conversas dos utilizadores são enviadas a um endpoint inseguro autenticado apenas pelo IMEI.

É possível gerar QR codes para vincular dispositivos alheios e aceder ao histórico e nome de utilizador.

Após reporte, exigiram assinatura no endpoint e rotacionaram a chave, mas chaves antigas e métodos de ligação continuam vulneráveis.

Get notified when new stories are published for "🇵🇹 Hacker News Português"

No Sign-In needed. One-Click Subscribe.