IKKO Activebuds 이어버드는 안드로이드 기반으로 동작하며 ADB 디버깅이 기본 활성화되어 있다.
디바이스에 저장된 OpenAI API 키가 추출되어 무단으로 API를 호출할 수 있다.
앱의 API는 기기 IMEI만으로 인증하며 사용자의 챗GPT 대화 기록을 무단으로 조회할 수 있다.
IMEI를 이용해 QR 코드 바인딩을 조작하면 기존 사용자 이름(실명)을 노출시킬 수 있다.
채팅 로그 전송 엔드포인트를 통해 HTML/JS 주입 및 피싱 공격이 가능하다.
업체는 일부 보안 패치를 적용했으나 API 키 회전 및 인증 강화가 불완전하다.
Get notified when new stories are published for "🇰🇷 Hacker News 한국어"