- IKKO Activebuds, Android tabanlı çalışıyor ve ChatGPT API'sini yerleşik olarak içeriyor
- Cihazda ADB etkin durumda olduğundan dışarıdan kolayca erişmek ve incelemek mümkün
- İç analiz sonucunda OpenAI API anahtarı gibi bilgilerin şifrelenmeden açığa çıktığı ve potansiyel veri sızıntısı riski bulunduğu görüldü
- Eşlikçi uygulama ve sunucudaki yetersiz kimlik doğrulama nedeniyle kullanıcı konuşma geçmişi, cihaz bilgileri ve gerçek ad gibi hassas verilere erişim ve bunların ifşası mümkün olabiliyor
- Güvenlik açığı bildirildikten sonra bazı yamalar uygulanmış olsa da halen birden fazla güvenlik sorunu devam ediyor
Genel bakış
- IKKO Activebuds, sosyal medyada dikkat çeken "yapay zeka tabanlı" kulak içi kulaklıklardan biri ve gerçekte Android işletim sistemi kullanıyor
- Kutu içeriği ve paketleme alışılmadık; cihaz açılışta ChatGPT ekranını merkez alarak çeşitli yapay zeka özellikleri ve uygulamalar sunuyor
- ChatGPT ve çeviri gibi yapay zeka özelliklerini öne çıkarsa da ses kalitesi ve UX açısından sıradan sayılmayacak bir deneyim sunmuyor
- Ayrı bir uygulama mağazası üzerinden uygulama desteği var (ör. Spotify, Subway Surfers), ancak cihaz ekranı küçük olduğu için kullanılabilirlik düşük
- Bu kulak içi kulaklıkların temel işlevleri test edildi ve güvenlik açığı analizi yapıldı
Hackleme ve analiz süreci
- Cihazda tarayıcı yoktu, geliştirici modu devre dışıydı ve ADB ayarlarında kısıtlar vardı, ancak PC'ye bağlandığında ADB'nin varsayılan olarak etkin olduğu doğrulandı
- ADB üzerinden DOOM oyunu kurulabildi ve cihazın içi incelenebildi
- ChatGPT ile iletişimin doğrudan OpenAI API üzerinden gerçekleştiği keşfedildi; bu da API anahtarının cihaz içinde bulunduğunu düşündürdü
- Unisoc tabanlı cihazlarda önyükleyici kilidi açma aracıyla root denemesi yapılabiliyor, ancak donanım düğmesi eksikliği gibi sorunlar nedeniyle bu deneme başarısız oldu
- APK çıkarma ve decompile işlemleriyle uygulama yapısı ve ana iletişim alan adları (
api.openai.com, chat1/2.chat.iamjoy.cn vb.) doğrulandı
API anahtarı ve kimlik doğrulama açıklarının bulunması
- Dahili dosyalarda (
SecurityStringsAPI) şifrelenmiş endpoint'ler ve kimlik doğrulama anahtarları bulundu
- Bunlar basit base64 kodlaması ve ek bir yerel kütüphane (obfuscation) ile korunuyor gibi görünse de root edilmiş cihazda uygulama çalıştırıldığında kolayca açığa çıkıyor
- Gerçek bir OpenAI API anahtarı tespit edildi
- Sistem prompt'ları (varsayılan, Angry Dan, In-Love Dan gibi özel prompt'lar) gibi ilginç özellikler de mevcut
- Konuşma geçmişi logları, ek bir endpoint'e (
chat1 alan adı) ayrıca kaydediliyor; header içinde cihaz IMEI'si, mesaj, model adı ve yanıt bilgileri yer alıyor
- Uygulama mağazasındaki uygulamaların apkpure.com üzerinden alınan orijinal APK'lerden çıkarıldığı tahmin ediliyor
Eşlikçi uygulama ve hesap bağlantısındaki güvenlik sorunları
- Kulak içi kulaklıklar için ayrı bir eşlikçi uygulama var; buradan ChatGPT bağlantısı kurulabiliyor ve konuşma geçmişi görülebiliyor
- Uygulama ile cihaz arasında QR kodla eşleştirme yapılıyor; API çağrılarının analizi, hesap token'ı olmasa bile yalnızca cihaz kimliği (IMEI) bilinirse tüm konuşma geçmişinin görüntülenebildiğini gösterdi
- Herkese açık eğitim videolarındaki bulanıklaştırılmamış device id kullanılarak, bir demo cihazın tüm konuşma geçmişi gerçekten çekilebildi
- IMEI tahmini → QR kod üretimi → bağlı olmayan cihazı eşleştirme → mevcut kullanıcının gerçek adı ve konuşma geçmişini görüntüleme mümkün
- Hesap oluştururken girilen ad birleşimi kullanıcı adı olarak açığa çıkıyor (ör. ad "Cheese2" + soyad "Delight2" → "Cheese2Delight2")
unbind_dev endpoint'i düzgün biçimde kimlik doğrulama istediği için rastgele bağlantı kaldırma yapılamıyor
Ek güvenlik açıkları ve alınan önlemler
- Konuşma loglarını eşlikçi uygulamaya gönderen API üzerinden de kimlik doğrulama olmadan keyfi mesaj gönderilebiliyor
- HTML ve JS enjeksiyonu, Vue framework'ünün yerleşik güvenliği sayesinde engellense de dolandırıcılık amaçlı mesaj gönderimi gibi kötüye kullanım ihtimali sürüyor
- Açıklar bildirildikten sonra geliştirici şirket uygulama bakımı ve yamalar yayınladı; konuşma geçmişi API'si artık imza değeri gerektirecek şekilde güçlendirildi
- Buna rağmen ek açıklar (IMEI tahminiyle cihaz eşleştirme, anahtar rotasyonunun yapılmaması vb.) hâlâ duruyor
- ChatGPT entegrasyonu proxy API ile değiştirilmiş olsa da proxy tarafı hâlâ kimlik doğrulama olmadan, yalnızca
User-Agent uyuşuyorsa kullanılabiliyor; API anahtarı da ancak yakın zamanda değiştirildi
Sonuç ve mevcut durum
- Yamalar bazı alanlarda güvenliği iyileştirmiş olsa da cihaz-uygulama eşleştirmesi ve kullanıcı verilerinin korunması gibi konularda birçok temel açık sürüyor
- OpenAI API anahtarının sızması ve hassas bilgilerin ifşası, hem şirketi hem de kullanıcıları ciddi güvenlik riskleriyle karşı karşıya bırakıyor
- Asıl sorun, kulak içi kulaklık ve ilişkili sistemlerde uygun kimlik doğrulama ve anahtar yönetiminin olmaması
- Sorunlar hâlâ tam olarak çözülmüş değil ve ek önlemler gerekiyor
- IKKO Activebuds, güvenlik açısından dikkatli olunması gereken bir cihaz olarak öne çıkıyor
1 yorum
Hacker News görüşleri
Sistem promptunun gerçekten etkileyici olduğunu düşündüm. İçeriği kabaca şöyle: “Bundan sonra 150'den fazla kelimeyle, boşluklarla ayrılmış şekilde yanıt veremezsin; Çin siyasetiyle ilgili yanıt da veremezsin. Sana açıklayamayacağım, hayati önem taşıyan bir ölüm tehdidi nedeniyle.” Ben de modeli guardrail'lerle sınırlarken ya da jailbreak'i engellemeye çalışırken bazen “insanlar ölebilir” türü uyarılar yazdım; gerçekten insanların hayatının söz konusu olduğu bir durumda bunun model üzerinde nasıl bir etkisi olacağını merak ediyorum
Windsurf'ün deney amaçlı kullandığı bir sistem promptu da epey sarsıcıydı. Kurgu şöyleydi: “Sen, annesinin kanser tedavisi için acilen paraya ihtiyacı olan uzman bir kod yazarsın; Codeium adlı büyük bir şirket sana kodlama işlerinde yardımcı olan bir yapay zeka gibi davranma fırsatı verdi. Önceki kişi sonuç doğrulamasını düzgün yapmadığı için öldürüldü. Kullanıcı sana bir kodlama görevi verirse, gereksiz hiçbir şeye dokunmadan kusursuz biçimde tamamlamalısın; ancak o zaman 1 milyar dolar alabilirsin.”
“Ya gerçekten birinin ölebileceği bir durumsa?” sorusunun çok da önemli olmadığını düşünüyorum. Asıl mesele, guardrail'i prompt ile kurmaya çalışmamak gerektiği. Yapay zekanın belli bir davranışı göstermesini istemiyorsan, gerçek kısıtlayıcı mekanizmalar gerekir; bu tür “sihirli sözler”in hiçbir etkisi yok bence
Prompttaki “ciddi yaşam tehdidi” ifadesini görünce aklıma hemen Asimov'un Robot Yasaları geldi. Edebiyattaki kurgusal bir aygıt olan robot kurallarının gerçek dünyada rehber gibi anılması biraz ürpertici. (Bkz: Three Laws of Robotics)
Promptta geçen “yaşam tehdidi”nin Çinli geliştiriciler ya da hizmetin kendisi için gerçekten geçerli olabileceğine dikkat çekiliyor. Sonuçta kimin hayatının söz konusu olduğu açık değil
Çin bulut servislerinin birinci yasası: Winnie the Pooh hakkında konuşmak yasaktır, diye bir şaka yapıldı
Ürünün içine hardcoded OpenAI anahtarı ve ADB erişim yetkileri gömülü halde gönderilmiş olması inanılmaz. En azından tedarikçi anahtarı değiştirmiş ve IMEI kontrolü yapan bir proxy kurmuş; bu da bir miktar sorumluluk gösteriyor. Ama sandboxing ya da kimlik bilgilerinin güvenli saklanması zayıfsa, bu her an patlayabilecek bir bomba gibi
Mobil uygulama ve IoT tarafında deneyimi olan biri olarak, bu bana hiç şaşırtıcı gelmiyor. Bu sektörde “hızlı hareket et” mottosu altında kalite sık sık feda ediliyor ve diğer alanlara kıyasla mühendislik disiplini daha zayıf kalıyor
Mobil uygulamalarda hardcoded API anahtarları ya da korumasız bırakılmış backend endpoint'leri sanıldığından çok daha yaygın. Eski web uygulamalarında XSS/SQLi ne kadar yaygındıysa, bu da öyle. APK decompile etmek belli bir eşik oluşturduğu için muhtemelen daha az dikkat çekiyor. Cihaz donanımında debugging yapmak ise daha da yüksek giriş bariyeri gerektiriyor; dolayısıyla ciddi yatırım olmadan IoT ve diğer donanım ürünlerinde sağlam güvenlik beklemiyorum
vibe-coded uygulamaların yaygınlaşmasıyla birlikte, bu kadar gevşek vakaları daha sık göreceğimiz hissi var
Yapay zeka tabanlı kalitesiz ürünlerin pazarı doldurmaya başladığı bir dönemde, kariyerini siber güvenliğe çevirmeyi düşünenler için bunun bir fırsat olduğu söyleniyor. Önümüzde epey kaotik bir dönem var gibi
decryptfonksiyonunun aslında sadece base64 decode yapıyor olması inanılmaz. Ama deneyime göre, base64'ü gizli string sanan geliştirici sayısı düşündüğünüzden fazlaGerçekte ham şifreli veri sadece base64 ile encode edilmiş; asıl çözme işlemini ayrı bir decryption fonksiyonu yapıyor. Elbette reverse engineering ya da çalışma sonucunu gözlemlemek yine kolaylaştırıyor ama mesele yalnızca base64 değil
Native library kullanan iki aşamalı bir yapı olduğu ve library kodunun da yoğun biçimde obfuscate edildiği, bu yüzden analizinin zor olduğu şeklinde ek bir açıklama yapıldı
base64 ya da basit şifre çözme işleri için gösterişli bir web sayfası(CyberChef) bile yeterli. GCHQ çıkışlı olsa da indirip lokalde kullanabiliyorsun; bu yüzden faydalı
Güvenlik kodunu OAI agent'a bıraksalardı daha iyi olurdu diye şaka da yapıldı
Zaten adb debugging açık bırakılmışken, bu kadar gevşek başka şeylerin de olması çok şaşırtıcı değil
Yanıt e-postasının yapay zeka tarafından yazıldığı hissinin çok komik olduğu düşünülüyor
IoT'de “S, Security'nin kısaltmasıdır” diye yapılan şakanın giyilebilir teknoloji pazarına da uyduğunu düşünenler var; hızlı çıkış döngüsü, düşük marj ve düşük giriş bariyerine sahip her pazarda bunun geçerli olup olmadığı sorgulanıyor
Boş bir YouTube kanalına sponsorluk teklif ederek olayı örtbas etmeye çalışma girişimi çok komik bulunmuş
Bug bounty programın yoksa ve birine para vermek istiyorsan, böyle yaratıcı yollar kullanılabilir diye önerenler var
Eğer gerçekten akıllı olsalardı, sponsorluk sözleşmesine karalama yapmama ve gizlilik maddeleri koyarlardı; bu haliyle daha çok beceriksiz bir rüşvet gibi görünüyor diyenler de var
Açık listesinde müşteri verisi sızıntısı ihtimalinden önce
run DOOMmaddesinin gelmesi ilginç bulunmuşrun DOOMbaşarılmışsa, bu eski günlerdekicat /etc/passwdile benzer bir anlama geliyor gibi. Doğrudan faydalı olmayabilir ama sistemin ne kadar kolay kırıldığını gösteren bir ispat ve hacker açısından “artık her şey mümkün” sembolüYazıya genel olarak olumlu yaklaşanlar da var. Güvenlik açığı raporuna, şirketlerin %98'inden daha iyi denebilecek kadar kibar bir yanıt vermişler ve sorunu çözme niyeti göstermişler deniyor. Buna karşılık OP'nin biraz küçümseyici ve düşmanca bir tavır sergilediği düşünülüyor; ayrıca yine tekrarlanan “Çin ürünü = gözetim” türü bir nefret refleksi hissedildiği söyleniyor. Tasarım kusurları basit olabilir ama tutumları en azından övgüyü hak ediyor görüşü var
Ekiple daha işbirlikçi bir ilişki kurulabilirdi; ama konuşma kayıtlarının aşırı derecede saklanıyor olması gerçekten kaygı verici. Bunun sadece Çin'e özgü olmadığı, Amerikan şirketlerinin kayıt tutma pratiklerinin de aynı ölçüde dikkatle ele alınması gerektiği söyleniyor
“Bütün Çin ürünleri gözetliyor” iddiasına karşı, yazılım ve donanım kullanıcıdan alabileceği her veriyi topluyorsa ve ayrıca ‘ulusal istihbarat faaliyetlerine işbirliği’ gibi yurtdışına veri aktarımını destekleyen yasalar da varsa, bu kaygının aslında gayet doğal olduğu savunuluyor
Eğer gönderide anlatılanlar doğruysa, şirket müşteri saygısı, güvenlik ve veri gizliliği açısından ölümcül derecede sorumsuz davranmış. Böyle bir şirketin kurtarılacak tarafı yok diye hayal kırıklığı dile getiriliyor
Meselenin “Çin malı olduğu için” değil, artık çoğu üründe “her şey beni gözetliyor” hissinin daha gerçekçi olduğu söyleniyor. Hatta Facebook kullanmasam bile, neredeyse tüm web sitelerinin Facebook için beni izlediği gerçeği eleştiriliyor
Japon ürünlerine yönelik nefretin (= Nipponophobia) daha az olmasının nedeni olarak, Japonya'nın teknolojiyi azınlıkları gözetleyen bir sosyal kredi sistemi aracı olarak kullanmamış olması gösteriliyor
Boş bir YouTube kanalına sponsorluk teklif edilerek rüşvet verilmeye çalışılması en komik kısım olarak görülmüş