Los IKKO Activebuds ejecutan Android con ADB habilitado por defecto, lo que permite acceso remoto sin restricciones.
Las claves de API de OpenAI y los endpoints protegidos por base64 pueden extraerse mediante ingeniería inversa y análisis de la aplicación.
El dispositivo envía las conversaciones al servidor de la compañía sin autenticación adecuada, exponiendo datos privados de usuarios.
La aplicación móvil permite consultar el historial de chat de cualquier IMEI sin necesidad de autenticarse con cuenta de usuario.
Se puede generar un código QR para vincular dispositivos ajenos, filtrando nombres completos e historiales de chat de otros usuarios.
Tras la divulgación, IKKO implementó firma de solicitudes y autenticación en la API, pero las claves en el dispositivo no se han rotado completamente.
Es posible extraer la clave de OpenAI y usar la API de ChatGPT desde otros dispositivos al no bloquear el uso fuera del hardware oficial.
Get notified when new stories are published for "🇪🇸 Hacker News Espanyol"