IKKO Activebuds "AI 기반" 이어버드 취약점 악용 사례 요약

카테고리

인프라/DevOps/보안

서브카테고리

보안

대상자 대상자_정보 출력

• 개발자, IoT 보안 전문가, 소비자
• 난이도: 중급 이상 (보안 취약점 분석 및 IoT 기기 취약점 이해 필요)

핵심 요약

• ADB 활성화 및 OpenAI API 키 노출 : 기기에서 ADB가 기본 활성화 되어 있어 외부 접근 가능하며, OpenAI API 키가 암호화 없이 노출됨
• 인증 미흡으로 민감 정보 유출 가능성 : 기기와 앱 간 QR 코드 연동 시 IMEI만으로도 대화 기록, 실명 정보 추출 가능
• 패치 후에도 잔여 취약점 존재 : IMEI 예측, 키 미로테이션, proxy API 인증 부족 등 보안성 강화 불충분

섹션별 세부 요약

###섹션1: 기기 기능 및 취약점 개요

• Android 기반 이어버드로 ChatGPT API 내장
• ADB 활성화로 외부에서 DOOM 게임 설치, 기기 내부 검사 가능
• OpenAI API 키가 기기 내부에 직접 노출됨 (암호화 없음)
• Unisoc 기반 장치 루팅 시도 실패 (하드웨어 버튼 부재 등)

###섹션2: 취약점 분석 및 악용 가능성

• QR 코드 연동 시 IMEI 기반 대화 기록 접근 가능 (예: chat1 도메인 활용)
• 계정 생성 시 이름 조합이 username으로 노출 (예: "Cheese2Delight2")
• APK 디컴파일을 통해 base64 인코딩된 엔드포인트 및 인증키 확인
• 루팅된 기기에서 암호화된 데이터 쉽게 노출 가능 (난독화 라이브러리 분석 어려움)

###섹션3: 패치 후 남은 취약점

• proxy API 인증 없음 (User-Agent만 일치하면 사용 가능)
• IMEI 예측 → 기기 연동 → 대화 기록 조회 가능 (예: 공개된 튜토리얼 영상 기반)
• unbind_dev 엔드포인트는 인증 필요, 대화 로그 전송 API는 인증 없음
• OpenAI API 키 유출, 민감 정보 노출으로 인해 사용자 및 회사 모두 보안 위험

결론

• ADB 활성화, API 키 노출, 인증 미흡 등 보안 취약점이 주요 문제
• 보안 개선 방안: API 키 암호화, IMEI 기반 인증 강화, 보안 프로토콜 업데이트 (예: OAuth2.0, JWT)
• 사용자 권장사항: 하드코딩된 API 키가 포함된 IoT 기기 사용 자제, 보안 패치 완료 확인
• 개발자 주의사항: ADB 설정 제약, 암호화 강화, 보안 프레임워크 적용(예: Android Keystore System)