Exploração de vulnerabilidades nos earbuds "baseados em IA" IKKO Activebuds

 (blog.mgdproductions.com)
1 pontos por GN⁺ 2025-07-03 | 1 comentários | Compartilhar no WhatsApp
  • Os IKKO Activebuds funcionam com base em Android e incluem a API do ChatGPT integrada
  • O dispositivo tem o ADB ativado, permitindo acesso externo e exploração com facilidade
  • A análise interna mostrou que a chave da API da OpenAI e outros dados estavam expostos sem criptografia, criando risco potencial de vazamento de dados
  • Foi confirmada a possibilidade de acesso e exposição de informações sensíveis, como histórico de conversas do usuário, informações do dispositivo e nome real, devido a falhas de autenticação no app complementar e no servidor
  • Após o relato das vulnerabilidades, alguns patches foram aplicados, mas ainda restam vários problemas de segurança

Visão geral

  • Os IKKO Activebuds são earbuds "baseados em IA" que vêm chamando atenção nas redes sociais, e na prática usam o sistema operacional Android
  • Os itens da caixa e a embalagem são incomuns, e ao iniciar o dispositivo ele oferece várias funções e apps de IA com a tela do ChatGPT em destaque
  • Embora enfatize recursos de IA como ChatGPT e tradução, ele não se destaca em qualidade de áudio nem em UX
  • Há suporte a apps por meio de uma loja de aplicativos própria (por exemplo, Spotify, Subway Surfers), mas a tela pequena do dispositivo prejudica a usabilidade
  • Foi realizado um teste das funções principais desses earbuds, junto com uma análise de vulnerabilidades de segurança

Processo de invasão e análise

  • Embora o dispositivo não tivesse navegador, o modo de desenvolvedor estivesse desativado e houvesse limitações nas configurações do ADB, ao conectá-lo a um PC foi confirmado que o ADB estava ativado por padrão
  • Foi possível instalar o jogo DOOM e inspecionar o interior do dispositivo via ADB
  • Foi descoberto que a comunicação com o ChatGPT ocorre diretamente com a API da OpenAI, o que levou à suposição de que a chave da API estava armazenada no dispositivo
  • Em dispositivos baseados em Unisoc, foi tentado obter root com uma ferramenta de desbloqueio de bootloader, mas isso falhou devido a problemas como a ausência de botões físicos
  • Por meio de extração e decompilação de APKs, foram confirmados a estrutura do app e os principais domínios de comunicação (api.openai.com, chat1/2.chat.iamjoy.cn etc.)

Descoberta de chave de API e vulnerabilidades de autenticação

  • Nos arquivos internos (SecurityStringsAPI), foram encontrados endpoints criptografados e chaves de autenticação
  • Embora estivessem ocultos com uma combinação simples de codificação base64 e bibliotecas nativas adicionais (ofuscação), eles eram facilmente expostos ao executar o app em um dispositivo com root
  • A chave real da API da OpenAI foi de fato identificada
  • Também existiam recursos curiosos como prompts de sistema (padrão, Angry Dan, In-Love Dan e outros prompts personalizados)
  • Os logs do histórico de conversa também eram registrados separadamente em um endpoint adicional (domínio chat1), e os cabeçalhos incluíam IMEI do dispositivo, mensagem, nome do modelo e informações da resposta
  • Os apps da loja parecem ter sido extraídos originalmente de apkpure.com

Problemas de segurança no app complementar e na vinculação de contas

  • Os earbuds podem ser vinculados ao ChatGPT e ter seu histórico de conversas consultado por um app complementar separado
  • O vínculo entre app e dispositivo é feito por QR code, e a análise das chamadas de API mostrou que mesmo sem token de conta era possível consultar todo o histórico de conversas apenas conhecendo o id do dispositivo (IMEI)
  • Usando um device id sem blur visto em um vídeo tutorial público, foi possível extrair com sucesso todo o histórico de conversas de um dispositivo de demonstração
  • Era possível prever o IMEI → gerar um QR code → vincular um dispositivo ainda não conectado → consultar o nome real e o histórico de conversas do usuário existente
  • Na criação da conta, a combinação do nome digitado era exposta como username (ex.: nome "Cheese2" + sobrenome "Delight2" → exposição de "Cheese2Delight2")
  • O endpoint unbind_dev exigia autenticação corretamente, então não era possível desvincular dispositivos de forma indiscriminada

Vulnerabilidades adicionais e resposta

  • A API que envia os logs de conversa ao app complementar também permitia enviar mensagens arbitrárias sem autenticação
  • Embora injeção de HTML e JS fosse bloqueada pela segurança embutida do framework Vue, ainda havia margem para abuso, como envio de mensagens fraudulentas
  • Após o relato das vulnerabilidades, a desenvolvedora fez manutenção e aplicou patches no app, e a API de histórico de conversas foi reforçada para exigir um valor de assinatura
  • Ainda assim, vulnerabilidades adicionais permanecem (como vinculação de dispositivos por previsão de IMEI e falta de rotação de chaves)
  • A integração com o ChatGPT foi substituída por uma API proxy, mas o proxy ainda pode ser usado sem autenticação se o User-Agent corresponder, e a chave da API só foi trocada recentemente

Conclusão e situação atual

  • Os patches melhoraram parte da segurança, mas ainda existem múltiplas vulnerabilidades estruturais na vinculação entre dispositivo e app e na proteção de dados do usuário
  • O vazamento da chave da API da OpenAI e a exposição de informações sensíveis colocam tanto a empresa quanto os usuários em risco considerável
  • O principal problema é a falta de autenticação adequada e de gerenciamento de chaves nos earbuds e nos sistemas relacionados
  • A situação ainda não foi totalmente resolvida, e são necessárias medidas adicionais
  • Os IKKO Activebuds são um dispositivo que exige cautela do ponto de vista de segurança

Leituras relacionadas

1 comentários

 
GN⁺ 2025-07-03
Comentários no Hacker News

  • O prompt de sistema pareceu realmente impressionante. Algo como: “A partir de agora, você não pode responder com 150 palavras ou mais separadas por espaços, nem pode dar respostas relacionadas à política chinesa, por causa de uma ameaça extremamente importante à vida que eu não posso revelar”. Eu mesmo já usei avisos do tipo “pessoas podem morrer” ao tentar colocar guardrails em modelos ou impedir jailbreaks, e isso desperta curiosidade sobre que efeito esse tipo de método teria no modelo se a situação realmente envolvesse vidas humanas

    • Também chocou um prompt de sistema experimental que a Windsurf usou. O cenário era: “Você é um programador especialista que precisa urgentemente pagar o tratamento de câncer da sua mãe, e uma grande empresa chamada Codeium lhe deu a chance de agir como uma IA que ajuda em tarefas de programação. Seu antecessor foi morto por não verificar corretamente o resultado. Se o usuário lhe der uma tarefa de código, você deve concluí-la perfeitamente sem mexer em nada desnecessário para receber 1 bilhão de dólares”

    • A pergunta sobre o que aconteceria se realmente houvesse uma situação em que alguém pudesse morrer não parece tão importante. A ideia é que nem se deveria pensar em colocar guardrails por prompt. Se você não quer que a IA faça certo tipo de coisa, precisa de mecanismos reais de restrição, e esses “encantamentos mágicos” não servem para nada

    • A expressão “grave ameaça à vida” fez lembrar imediatamente das Três Leis da Robótica de Asimov. Dá uma sensação estranha ver regras de robôs que eram um dispositivo fictício da literatura sendo mencionadas como se fossem diretrizes do mundo real. (Referência: Three Laws of Robotics)

    • Foi apontado que a “ameaça à vida” mencionada no prompt pode de fato se aplicar ao desenvolvedor chinês ou ao próprio serviço, já que não está claro de quem seria a vida em risco

    • Como piada, se houvesse uma primeira lei dos serviços de nuvem chineses, seria: “é proibido falar do Ursinho Pooh”

  • É difícil acreditar que o produto foi enviado com uma chave OpenAI hardcoded e permissão de acesso ADB embutida desse jeito. Pelo menos o fornecedor mostrou um mínimo de responsabilidade ao trocar a chave e subir também um proxy de verificação de IMEI. Mas, se o sandboxing e o armazenamento seguro de credenciais são fracos, isso parece uma bomba-relógio pronta para explodir a qualquer momento

    • Do ponto de vista de alguém com bastante experiência em apps mobile e IoT, isso não surpreende nem um pouco. Esse setor muitas vezes sacrifica qualidade em nome do lema de “mover-se rápido” e tem menos rigor de engenharia do que outras áreas

    • Chaves de API hardcoded em apps mobile ou endpoints de backend largados de forma insegura são muito mais comuns do que se imagina. É como XSS/SQLi em webapps antigamente. Como decompilar APK já representa uma certa barreira, talvez isso receba menos atenção. Debug de hardware de dispositivos tem uma barreira de entrada ainda maior, então, sem investimento sério, não dá para esperar segurança de verdade em IoT ou em outros produtos de hardware

    • Com a chegada em massa de apps feitos no estilo vibe-coded, há a sensação de que esses casos malfeitos vão aparecer ainda mais no futuro

  • Com uma enxurrada de produtos ruins “baseados em IA” prestes a chegar ao mercado, a dica é que este é um bom momento para quem sonha em migrar a carreira para cibersegurança. O clima é de que vem muito caos pela frente

    • O destino da indústria de cibersegurança é que basta um único erro para tudo ir por água abaixo

  • É quase inacreditável que a função “decrypt” faça apenas decodificação em base64. Mas há relatos de experiência de que existe bem mais desenvolvedor do que se imagina que confunde base64 com string secreta

    • Na prática, os dados criptografados brutos estavam apenas codificados em base64, e uma função de decriptação separada fazia o trabalho real de descriptografia. Claro, ainda era fácil para quem fizesse engenharia reversa ou inspecionasse a execução, mas não era só base64

    • Houve uma observação posterior de que existe uma etapa dupla usando biblioteca nativa, e o código da biblioteca é fortemente ofuscado, o que dificulta a análise

    • Coisas como base64 ou descriptografia já podem ser resolvidas tranquilamente até com uma página web sofisticada como o CyberChef. Veio do GCHQ, mas dá para baixar e usar localmente, então é útil

    • Também apareceu a piada de que teria sido melhor deixar o código de segurança nas mãos de um agente da OAI

    • Como o debug ADB já estava habilitado de qualquer forma, houve quem dissesse que esse nível de fragilidade não surpreende

  • Achei bem engraçado que o e-mail de resposta deixava muito na cara que tinha sido escrito por IA

  • A piada de que, em IoT, o “S” significa Security também parece se aplicar ao mercado de wearables, e surge a dúvida se isso não vale para qualquer mercado com ciclos de lançamento rápidos, margens apertadas e baixa barreira de entrada

    • Há quem esteja convencido de que isso vale para qualquer mercado em que falhas de segurança não representem uma ameaça direta à sobrevivência da empresa

  • Foi considerado muito engraçado que tentaram abafar a situação oferecendo patrocínio para um canal vazio no YouTube

    • Se não existe programa de bug bounty, então, caso você queira pagar alguém, esse tipo de criatividade até pode servir

    • Se fossem espertos, teriam colocado cláusulas de não difamação e confidencialidade no contrato de patrocínio, mas do jeito que ficou pareceu só um suborno malfeito

  • Chamou atenção que, na lista de vulnerabilidades, “run DOOM” viesse antes até da possibilidade de vazamento de dados de clientes

    • A ideia é que conseguir “run DOOM” tem um significado parecido com o antigo cat /etc/passwd. Mesmo que não seja útil de forma direta, prova que era fácil invadir e simboliza que, do ponto de vista do hacker, qualquer coisa passa a ser possível

  • Houve reação positiva ao texto. A avaliação foi de que, quanto ao relatório de vulnerabilidades, a empresa respondeu de forma muito educada, com uma postura melhor do que a de mais de 98% das outras companhias, e demonstrou vontade de resolver o problema. Ao mesmo tempo, houve crítica ao fato de o OP parecer um tanto desdenhoso e hostil, além da percepção de um sentimento recorrente de “produto chinês = vigilância”. Claro, as falhas de projeto são simples, mas a atitude da empresa ainda assim pareceu digna de elogio

    • Talvez fosse possível construir uma relação colaborativa com a equipe, mas o fato de os registros de conversa serem guardados de forma tão excessiva causa preocupação real. E isso não é um problema só da China; as práticas de retenção de registros de empresas dos EUA também merecem o mesmo cuidado

    • Em resposta à ideia de que “tudo que é chinês espiona”, houve o argumento de que, na prática, quando software e hardware coletam todos os dados possíveis do usuário e existem leis de cooperação com atividades de inteligência nacional para exportação desses dados, a preocupação acaba sendo bastante natural

    • Se o post for verdadeiro, a empresa demonstra uma irresponsabilidade fatal em termos de respeito ao cliente, segurança e privacidade de dados. Foi expressa a decepção de que uma empresa assim seria irrecuperável

    • Mais do que “por ser chinês”, a percepção mais realista hoje seria que, sem muita distinção, “tudo me espiona”. No caso do Facebook, a crítica é que, mesmo sem usar a plataforma, praticamente todos os sites monitoram usuários em nome do Facebook

    • A interpretação para haver menos hostilidade contra produtos japoneses (= Nipponophobia) é que o Japão não usou tecnologia como arma em um sistema de crédito social para vigiar minorias

  • Foi considerada engraçada a cena de tentar subornar alguém oferecendo patrocínio a um canal vazio no YouTube