Hacker News 中文摘要

RSS订阅

利用IKKO Activebuds“AI驱动”耳机 -- Exploiting the IKKO Activebuds "AI powered" earbuds

原文链接 | HN讨论 | 2025-07-03 00:35:48

文章摘要

作者购买了IKKO Activebuds耳机,发现其运行安卓系统,并成功利用漏洞运行了DOOM游戏,窃取了OpenAI API密钥和用户数据。该问题已报告并修复。这是作者首次发布博客,希望获得反馈。

文章总结

这篇文章详细描述了作者对IKKO Activebuds“AI驱动”耳机的深入探索,揭示了其安全漏洞,并成功获取了OpenAI API密钥和用户数据。以下是主要内容总结:

  1. 设备背景:作者在YouTube和TikTok上看到这款耳机后,购买了它。Image 1 耳机运行Android系统,并集成了ChatGPT功能。Image 5

  2. 初步探索:作者发现耳机通过ADB(Android调试桥)连接电脑,并成功侧载了DOOM游戏。Image 7 通过分析,作者发现耳机直接与OpenAI通信,意味着设备上存储了ChatGPT API密钥。Image 9

  3. 安全漏洞:作者通过APK提取工具获取了设备上的应用,并发现了一个名为SecurityStringsAPI的文件,其中包含加密的API端点和认证密钥。Image 11 通过侧载应用,作者成功获取了OpenAI API密钥。Image 14

  4. 用户数据泄露:作者发现设备将用户的聊天记录发送到服务器,并且通过设备IMEI可以获取所有用户的聊天历史。Image 19 此外,作者还发现可以通过猜测IMEI生成绑定二维码,获取用户的姓名和聊天记录。Image 25

  5. 厂商回应:作者向IKKO的安全部门报告了这些问题,厂商随后进行了修复,包括更新应用和设备固件,增加了API调用的认证机制。Image 36 然而,作者指出仍然存在一些未修复的安全漏洞,如可以通过IMEI绑定设备并获取用户信息。Image 39

  6. 后续更新:在2025年1月13日的更新中,作者提到设备已经通过IMEI检查来限制ChatGPT功能的使用,并使用了代理API,但仍然存在未认证的API调用问题。Image 42 厂商最终轮换了旧的ChatGPT API密钥。Image 43

总结:这篇文章揭示了IKKO Activebuds耳机的多个安全漏洞,包括API密钥泄露、用户数据暴露等问题。尽管厂商进行了部分修复,但仍存在安全隐患。作者呼吁更多人关注这些问题,以促使厂商进一步改进安全措施。

评论总结

  1. 对安全问题的批评

    • 评论2指出设备启用了ADB,并且直接与OpenAI通信,暴露了ChatGPT密钥和加密端点("Holy shit, holy shit, holy shit, it communicates DIRECTLY TO OPENAI. This means that a ChatGPT key must be present on the device!")。
    • 评论3提到“解密”功能仅仅是base64解码,质疑其安全性("decrypt function just decoding base64 is almost too difficult to believe")。

  2. 对公司的回应和态度的看法

    • 评论11认为公司的回应比大多数公司更好,表现出兴趣并解决了问题,但批评了OP的敌对态度和潜在的仇华情绪("Their response was better than 98% of other companies when it comes to reporting vulnerabilities")。
    • 评论9对公司现在才开始认真处理问题表示怀疑("Oh now you’re going to be diligent. Why do I doubt that?")。

  3. 对AI和技术的讽刺

    • 评论6讽刺“AI-powered”产品的泛滥,提出如果有人或公司用这个词描述产品,就要付他1万美元("New rule: if a person or company describes their product as AI-powered, they have to pay me $10,000")。
    • 评论8预测随着低质量AI产品的涌入,网络安全将变得至关重要("brace yourselves as the floodgates holding back the poorly-developed AI crap open wide")。

  4. 对幽默和讽刺的欣赏

    • 评论15认为这是近期看到的最有趣的内容之一,特别是“它能运行DOOM”的梗("Definitely one of the greatest it runs doom posts ever")。
    • 评论14引用“IoT中的S代表安全”的幽默说法,质疑快速发布周期市场的安全性("the S in IoT stands for security")。

  5. 对技术细节的批评

    • 评论17批评了暴露的编程和提示设计非常业余("That's some very amateur programming and prompting that you've exposed")。
    • 评论12建议不要购买该产品,因为屏幕的柔性电缆容易断裂或松动("Strongly suggest you to not buy, as the flex cable for the screen is easy to break/come loose")。

  6. 对安全标准的失望

    • 评论13对安全标准的降低表示失望,认为现在似乎什么都不重要了("Sure let's start giving out participation trophies in security. Nothing matters anymore")。