Hack IKKO "AI powered" earbuds to run DOOM, stole OpenAI API key, customer data
10 months ago
- #ChatGPT
- #Android
- #Security
- 这款耳机运行安卓系统,在Mrwhosetheboss视频和TikTok上推广后以245欧元的价格购入。
- 设备启动后主屏显著展示ChatGPT界面,并内置翻译等AI功能。
- 默认EQ配置下音质较差,但通过手动调整均衡器曲线可改善音效。
- 因缺少Google Play商店,设备使用IKKO商店的修改版应用,内置Spotify和《地铁跑酷》等程序。
- 开发者模式(ADB)处于开启状态,便于侧载应用及深入分析设备功能。
- ChatGPT功能直连OpenAI服务器,且在设备中发现未加密的ChatGPT API密钥。
- 设备将聊天记录上传至终端节点,存在用户数据泄露风险,部分API接口缺乏身份验证。
- 安全漏洞允许生成绑定设备的二维码,可能导致用户聊天记录和姓名外泄。
- 问题上报后厂商发布了安全更新,但部分漏洞仍未彻底修复。
- 设备最终被Root,暴露出更多安全隐患,包括未经验证的ChatGPT代理API接口。