Home

Google zapłaciło Mattowi 107,5 tys. dolarów za odkrycie i odpowiedzialne zgłoszenie podatności, a szczegóły techniczne zostały opisane na blogu badacza. Ataki ...

[kod znajdziecie na Githubie](https://github.com/DownrightNifty/gh_hack_PoC) (wykorzystują Pythona, JavaScript i HTML). [odkurzacz Roomba zrobił zdjęcie kobiecie w toalecie](https://www.technologyreview.com/2022/12/19/1065306/roomba-irobot-robot-vacuums-artificial-intelligence-training-data-privacy/) i skończyło się to opublikowaniem fotki w social mediach. [Chromecast](https://www.apkmirror.com/apk/google-inc/chromecast/). [mogą być podsłuchem w domu](https://niebezpiecznik.pl/post/amazon-echo-nagral-prywatna-rozmowe-i-udostepnil-ja-bez-wiedzy-wlascicieli/), ale na to zagrożenie patrzono jak na przypadkowe incydenty. W swoich poszukiwaniach Matt zwrócił się w stronę ataków “man-in-the-middle” (MITM) i wziął na celownik nie tyle urządzenie co aplikację Google Home. Matt stworzył na badanym urządzeniu zadanie rutynowe typu “dzwoń na numer [tutaj numer] w środy o godzinie [tutaj godzina]”. [konto na Githubie](https://github.com/rithvikvibhu/GHLocalApi) z nieoficjalną dokumentacją lokalnego API. I nie chodzi o to, że chcemy was zniechęcać do nowych gadżetów. Teraz nie da się tego zrobić przez zadania rutynowe, a pozwolenie na to było ewidentnym błędem. wymagał uzyskania informacji o urządzeniu przez lokalne API (w tym nazwy urządzenia, ceryfikatu oraz “cloud ID”), a następnie wysłanie odpowiedniego żądania do serwera Google wraz z tymi informacjami. [Matt Kunze odkrył podatność w głośnikach Google Home](https://downrightnifty.me/blog/2022/12/26/hacking-google-home.html), która pozwalała nawet na podsłuchiwanie. Ot, coś się nagrało i zostało gdzieś przesłane, albo [mogli to słyszeć pracownicy wspierający “trening AI”](https://niebezpiecznik.pl/post/pracownicy-google-i-apple-tymczasowo-przestana-sluchac-jak-ludzie-kupuja-narkotyki-lub-uprawiaja-seks/).