Die IKKO Activebuds laufen auf Android und haben ADB standardmäßig aktiviert.
Die ChatGPT-Integration kommuniziert direkt mit der OpenAI-API und speichert den API-Schlüssel ungeschützt auf dem Gerät.
Entwickler-Tools reichen aus, um verschlüsselte Endpunkte und Authentifizierungsdaten aus den Apps zu extrahieren.
Über eine unsichere API lassen sich mit der Geräte-ID alle Chatverläufe und persönliche Nutzerdaten abrufen.
Die Companion-App verwendet keine ausreichende Authentifizierung und leakt bei der Gerätebindung Vor- und Nachnamen.
Angreifer können beliebige Nachrichten in fremde Apps einschleusen, da nur die Geräte-ID als Authentifizierung dient.
Obwohl IKKO nach Meldung der Lücken Teilupdates und Proxys eingeführt hat, bleiben die Schlüssel ungeschützt auf dem Gerät.
Get notified when new stories are published for "🇩🇪 Hacker News Deutsch"