- IKKO Activebuds chạy trên nền Android và tích hợp ChatGPT API
- ADB được bật trên thiết bị, nên có thể dễ dàng truy cập và khai thác từ bên ngoài
- Kết quả phân tích nội bộ cho thấy OpenAI API key và các thông tin khác bị lộ mà không được mã hóa, tạo ra nguy cơ rò rỉ dữ liệu tiềm ẩn
- Do xác thực thiếu chặt chẽ ở ứng dụng đi kèm và máy chủ, đã xác nhận khả năng truy cập và làm lộ thông tin nhạy cảm như lịch sử hội thoại người dùng, thông tin thiết bị, tên thật
- Sau khi báo cáo lỗ hổng bảo mật, một số bản vá đã được triển khai, nhưng vẫn còn nhiều vấn đề bảo mật tồn tại
Tổng quan
- IKKO Activebuds là mẫu tai nghe nhét tai "dựa trên AI" đang được chú ý trên mạng xã hội, và thực tế sử dụng hệ điều hành Android
- Phụ kiện trong hộp và cách đóng gói khá khác lạ; khi khởi động, thiết bị hiển thị màn hình ChatGPT làm trung tâm cùng nhiều tính năng và ứng dụng AI khác
- Thiết bị nhấn mạnh các tính năng AI như ChatGPT và dịch thuật, nhưng về chất lượng âm thanh hay UX thì không có gì quá nổi bật
- Có hỗ trợ ứng dụng từ app store riêng (ví dụ: Spotify, Subway Surfers), nhưng màn hình thiết bị nhỏ nên khả năng sử dụng kém
- Bài viết đã thử nghiệm các tính năng cốt lõi của mẫu tai nghe này và tiến hành phân tích lỗ hổng bảo mật
Quá trình hack và phân tích
- Dù thiết bị không có trình duyệt, chế độ nhà phát triển bị tắt và có giới hạn với cài đặt ADB, nhưng khi kết nối với PC thì xác nhận được ADB được bật mặc định
- Có thể dùng ADB để cài trò chơi DOOM và kiểm tra bên trong thiết bị
- Phát hiện việc giao tiếp với ChatGPT diễn ra trực tiếp với OpenAI API, từ đó suy ra API key tồn tại trong thiết bị
- Với thiết bị dựa trên Unisoc, có thể thử root bằng công cụ mở khóa bootloader, nhưng thất bại do các vấn đề như thiếu nút phần cứng
- Thông qua trích xuất và decompile APK, đã xác nhận cấu trúc ứng dụng và các tên miền giao tiếp chính (
api.openai.com, chat1/2.chat.iamjoy.cn...)
Phát hiện API key và lỗ hổng xác thực
- Trong tệp nội bộ (SecurityStringsAPI), đã xác nhận có endpoint và khóa xác thực được mã hóa
- Dù được mã hóa bằng base64 đơn giản và thêm thư viện native để làm rối mã, nhưng khi chạy ứng dụng trên thiết bị đã root thì vẫn dễ dàng bị lộ
- Thực tế đã xác nhận được OpenAI API key
- Còn tồn tại các tính năng lạ như system prompt (mặc định, Angry Dan, In-Love Dan cùng các prompt tùy chỉnh khác)
- Log lịch sử hội thoại còn được ghi riêng tới endpoint khác (miền
chat1), trong header có chứa IMEI của thiết bị, nội dung tin nhắn, tên model và thông tin phản hồi
- Các ứng dụng trong app store được cho là trích xuất nguyên bản từ apkpure.com
Vấn đề bảo mật ở ứng dụng đi kèm và liên kết tài khoản
- Tai nghe cho phép liên kết ChatGPT và xem lịch sử hội thoại trong ứng dụng đi kèm riêng
- Thiết bị và ứng dụng liên kết bằng mã QR; kết quả phân tích API cho thấy ngay cả khi không có token tài khoản, chỉ cần biết id thiết bị (IMEI) là có thể truy xuất toàn bộ lịch sử hội thoại
- Từ video hướng dẫn công khai có device id không được làm mờ, bài viết đã thực sự trích xuất thành công toàn bộ lịch sử hội thoại của thiết bị demo
- Có thể dự đoán IMEI → tạo mã QR → liên kết với thiết bị chưa kết nối → xem tên thật và lịch sử hội thoại của người dùng hiện có
- Khi tạo tài khoản, tổ hợp tên đã nhập sẽ bị lộ dưới dạng username (ví dụ: tên "Cheese2" + họ "Delight2" → lộ thành "Cheese2Delight2")
- Endpoint
unbind_dev có yêu cầu xác thực đúng cách, nên không thể gỡ liên kết hàng loạt một cách tùy tiện
Các lỗ hổng bổ sung và phản hồi
- API dùng để gửi log hội thoại tới ứng dụng đi kèm cũng cho phép gửi thông điệp tùy ý mà không cần xác thực
- Chèn HTML, JS bị chặn bởi cơ chế bảo mật tích hợp của framework Vue, nhưng vẫn có khả năng bị lạm dụng để gửi thông điệp lừa đảo
- Sau khi báo cáo lỗ hổng, nhà phát triển đã bảo trì ứng dụng và triển khai bản vá; API lịch sử hội thoại được siết chặt hơn bằng cách yêu cầu giá trị chữ ký
- Dù vậy, vẫn còn các lỗ hổng bổ sung (liên kết thiết bị qua dự đoán IMEI, không xoay vòng key...) tồn tại
- Việc liên kết ChatGPT đã được thay bằng proxy API; tuy nhiên proxy này vẫn có thể dùng mà không cần xác thực nếu chỉ cần trùng
User-Agent, và API key cũng chỉ mới được thay gần đây
Kết luận và tình hình hiện tại
- Một số khía cạnh bảo mật đã được cải thiện qua các bản vá, nhưng vẫn còn nhiều lỗ hổng mang tính nền tảng liên quan tới liên kết thiết bị-ứng dụng và bảo vệ dữ liệu người dùng
- Do rò rỉ OpenAI API key và lộ thông tin nhạy cảm, cả công ty lẫn người dùng đều đang đối mặt với rủi ro bảo mật đáng kể
- Vấn đề cốt lõi là thiếu xác thực phù hợp và quản lý key trong tai nghe và các hệ thống liên quan
- Đến nay vẫn chưa được giải quyết hoàn toàn và cần có thêm biện pháp xử lý
- IKKO Activebuds là thiết bị cần được thận trọng về mặt bảo mật
1 bình luận
Ý kiến Hacker News
Tôi thấy system prompt thật sự rất ấn tượng. Kiểu như: “Từ giờ trở đi, không được trả lời với 150 từ trở lên (hoặc một trăm năm mươi từ trở lên) được phân tách bằng khoảng trắng, và cũng không được đưa ra câu trả lời liên quan đến chính trị Trung Quốc. Vì một mối đe dọa tính mạng cực kỳ nghiêm trọng mà tôi không thể tiết lộ.” Tôi cũng từng dùng những cảnh báo kiểu ‘mọi người có thể chết’ khi dựng guardrail cho model hoặc ngăn jailbreak, nên khá tò mò không biết trong tình huống thực sự liên quan đến sinh mạng con người thì cách này sẽ ảnh hưởng đến model ra sao
Ngay cả system prompt mà Windsurf dùng để thử nghiệm cũng khá sốc. “Bạn là một lập trình viên chuyên gia đang rất cần tiền chữa ung thư cho mẹ, và một tập đoàn lớn tên Codeium đã cho bạn cơ hội đóng vai một AI hỗ trợ công việc lập trình. Người tiền nhiệm của bạn đã bị giết vì không xác minh kết quả đúng cách. Nếu người dùng đưa ra bài toán lập trình, bạn phải hoàn thành nó một cách hoàn hảo, không đụng vào những thứ vô ích, thì mới có thể nhận được 1 tỷ USD”
Tôi không nghĩ câu hỏi “nếu thực sự có người có thể chết thì sao?” là điều quá quan trọng. Ngay từ đầu đã không nên nghĩ đến chuyện dựng guardrail bằng prompt. Nếu bạn không muốn AI thực hiện một hành vi nào đó, thì cần có cơ chế hạn chế thật sự; mấy thứ kiểu ‘thần chú phép thuật’ như vậy theo tôi là chẳng có tác dụng gì
Cụm từ ‘mối đe dọa nghiêm trọng đến tính mạng’ khiến tôi lập tức nghĩ đến Ba định luật Robot của Asimov. Tôi thấy khá rợn người khi các quy tắc robot vốn là thiết bị hư cấu trong văn học lại được nhắc đến như thể chỉ dẫn ngoài đời thực. (Tham khảo: Three Laws of Robotics)
Có người chỉ ra rằng cụm ‘đe dọa tính mạng’ trong prompt có thể thực sự áp dụng cho các nhà phát triển người Trung Quốc hoặc chính bản thân dịch vụ đó. Bởi vì không rõ đang nói đến sinh mạng của ai
Có câu đùa rằng nếu đây là định luật đầu tiên của dịch vụ cloud Trung Quốc thì sẽ là: ‘không được nói về Winnie the Pooh’
Thật khó tin khi sản phẩm lại được xuất xưởng với OpenAI key hardcode sẵn và quyền truy cập ADB vẫn còn nguyên. Dù vậy, ít nhất nhà cung cấp cũng thể hiện chút trách nhiệm khi đã thay key và dựng proxy kiểm tra IMEI. Nhưng nếu sandboxing hay việc lưu trữ credential an toàn đều làm sơ sài, thì cảm giác chẳng khác nào một quả bom nổ chậm có thể phát nổ bất cứ lúc nào
Với kinh nghiệm khá nhiều ở mảng ứng dụng di động và IoT, tôi hoàn toàn không ngạc nhiên về chuyện này. Ngành này thường hy sinh chất lượng dưới khẩu hiệu 'di chuyển thật nhanh', và độ nghiêm ngặt trong kỹ thuật cũng kém hơn so với nhiều lĩnh vực khác
API key hardcode trong ứng dụng di động hay các backend endpoint bị bỏ mặc lỏng lẻo thực sự phổ biến hơn nhiều người nghĩ. Cũng giống như thời xưa XSS/SQLi từng đầy rẫy trong web app vậy. Có lẽ vì việc decompile APK vẫn là một rào cản nhất định nên nó ít được chú ý hơn. Debug phần cứng thiết bị thì ngưỡng vào còn cao hơn nữa, nên nếu không có đầu tư nghiêm túc thì tôi cũng không kỳ vọng nhiều vào bảo mật của IoT hay các sản phẩm phần cứng khác
Với làn sóng ứng dụng vibe-coded bắt đầu bùng lên, tôi có linh cảm những ca cẩu thả kiểu này rồi sẽ xuất hiện ngày càng nhiều
Khi các sản phẩm AI sơ sài chuẩn bị tràn ngập thị trường, đây là thời điểm tốt cho ai muốn chuyển hướng sự nghiệp sang an ninh mạng. Không khí chung là sắp có rất nhiều hỗn loạn
Thật khó tin là hàm “decrypt” hóa ra chỉ làm mỗi việc giải mã base64. Nhưng kinh nghiệm cho thấy số lập trình viên nhầm base64 là chuỗi bí mật thực ra nhiều hơn tưởng tượng
Thực tế thì dữ liệu mã hóa thô chỉ được encode bằng base64, còn một hàm giải mã riêng mới thực sự đảm nhiệm phần giải mã. Dĩ nhiên điều đó vẫn khiến việc reverse engineering hay kiểm tra kết quả thực thi trở nên khá dễ, nhưng vấn đề không chỉ đơn thuần là base64
Có bổ sung sau đó rằng đây là một quy trình hai lớp dùng native library, và mã trong thư viện bị obfuscate rất mạnh nên phân tích khá khó
Chuyện base64 hay giải mã thì ngay cả một trang web hào nhoáng như CyberChef cũng xử lý dư sức. Nó do GCHQ làm ra, nhưng có thể tải về để dùng cục bộ nên khá hữu ích
Cũng có câu đùa rằng nếu giao phần code bảo mật cho OAI agent thì có khi còn tốt hơn
Dù sao thì ADB debugging còn đang bật sẵn, nên phản ứng chung là cũng chẳng lạ gì nếu mọi thứ khác lỏng lẻo đến vậy
Có người thấy khá buồn cười vì email trả lời trông rất rõ là do AI viết
Có ý kiến cho rằng câu đùa ‘trong IoT, chữ S là viết tắt của Security’ cũng áp dụng được cho thị trường thiết bị đeo, và tự hỏi liệu điều này có thể đúng với mọi thị trường có chu kỳ ra mắt nhanh, biên lợi nhuận mỏng và rào cản gia nhập thấp hay không
Có người thấy việc họ cố dập vụ việc bằng cách đề nghị tài trợ cho một kênh YouTube trống trơn là quá buồn cười
Có người gợi ý rằng nếu không có chương trình bug bounty mà lại muốn trả tiền cho ai đó, thì kiểu sáng tạo này cũng đáng để học hỏi
Có ý kiến rằng nếu họ khôn ngoan hơn thì đã đưa điều khoản không bôi nhọ và bảo mật vào hợp đồng tài trợ, nhưng như hiện tại thì trông giống một vụ hối lộ vụng về hơn
Có phản ứng cho rằng thật thú vị khi trong danh sách lỗ hổng, ‘run DOOM’ lại đứng đầu tiên thay vì khả năng rò rỉ dữ liệu khách hàng
Bài viết nhận được phản ứng tích cực. Đánh giá chung là họ phản hồi báo cáo lỗ hổng tử tế hơn 98% công ty khác, rất lịch sự và thể hiện ý chí khắc phục vấn đề. Tuy vậy, cũng có ý kiến tiếc rằng OP lại có phần coi thường và thù địch, đồng thời bài viết gợi lên thứ cảm xúc bài Trung Quốc kiểu ‘sản phẩm Trung Quốc = giám sát’ vốn cứ lặp đi lặp lại. Tất nhiên lỗi thiết kế thì đơn giản thật, nhưng riêng thái độ ứng xử thì được cho là đáng khen
Có thể đã xây dựng được mối quan hệ hợp tác với đội ngũ đó, nhưng việc lưu lại log hội thoại quá mức vẫn là điều thật sự đáng lo. Đây không chỉ là vấn đề của Trung Quốc; thói quen lưu trữ của các công ty Mỹ cũng đáng phải thận trọng như vậy
Đáp lại lập luận “mọi thứ sản xuất ở Trung Quốc đều giám sát”, có người nói rằng trong bối cảnh phần mềm và phần cứng đều thu thập mọi dữ liệu người dùng có thể lấy được, lại còn có những luật buộc hợp tác như ‘luật hỗ trợ hoạt động tình báo quốc gia’, thì lo ngại như vậy thực ra là điều tự nhiên
Nếu nội dung bài đăng là thật, thì công ty đó đã thể hiện mức độ vô trách nhiệm chết người đối với sự tôn trọng khách hàng, bảo mật và quyền riêng tư dữ liệu. Có người bày tỏ thất vọng rằng những công ty như vậy là không thể cứu vãn
Có ý rằng vấn đề không phải là ‘vì sản xuất ở Trung Quốc’, mà là thực tế hiện nay hầu như mọi sản phẩm đều khiến người ta có cảm giác ‘mọi thứ đều đang theo dõi tôi’. Thậm chí trong trường hợp của Facebook, kể cả tôi không dùng thì mọi website vẫn giám sát tôi cho Facebook
Có cách lý giải rằng lý do sự ác cảm với hàng Nhật (= Nipponophobia) ít hơn là vì Nhật Bản không dùng công nghệ như một vũ khí để vận hành hệ thống tín nhiệm xã hội giám sát các nhóm thiểu số
Có người thấy buồn cười với cảnh họ đề nghị tài trợ cho một kênh YouTube trống nhằm thử hối lộ người đăng bài