Słuchawki IKKO Activebuds działają na Androidzie i mają włączony ADB, co umożliwia dostęp do systemu.
W aplikacjach znaleziono bezpośredni klucz OpenAI API, co pozwoliło na jego wykradzenie.
Interfejs urządzenia komunikuje się z serwerami bez właściwej weryfikacji, umożliwiając wyciek historii czatów klientów.
API do pobierania czatów oraz generowania kodów QR nie wymagało odpowiedniego uwierzytelnienia, co umożliwiało dostęp do danych innych użytkowników.
Pomimo poprawki, nadal istnieje możliwość powiązania i kontrolowania urządzeń przez zgadywany IMEI oraz wstrzykiwania wiadomości do aplikacji.
Po aktualizacji przeprowadzono rotację klucza i wprowadzono ograniczenie IMEI, ale metoda wykradania klucza oraz generowania QR wciąż pozostaje narażona.
Get notified when new stories are published for "🇵🇱 Hacker News Polski"