כשל בשירות WAZE חשף משתמשים למעקב
חוקר אבטחה גילה פגיעות באפליקציית Waze של גוגל שיכולה לאפשר להאקרים לזהות אנשים המשתמשים באפליקציית הניווט הפופולרית ולעקוב אחרי המיקום שלהם
עמי רוחקס דומבה
| 21/10/2020
https://www.malgregator.com/post/waze-how-i-tracked-your-mother/
חוקר אבטחה גילה פגיעות באפליקציית Waze של גוגל שיכולה לאפשר להאקרים לזהות אנשים המשתמשים באפליקציית הניווט הפופולרית ולעקוב אחרי המיקום שלהם. מהנדס DevOps בתחום האבטחה, פיטר גספר, גילה כשל בממשק API בתוכנת הניווט שאפשר לו לעקוב אחר התנועות הספציפיות של הנהגים הסמוכים בזמן אמת ואף לזהות בדיוק מי הם, כך גילה בפוסט בבלוג באתר המחקר שלו, "malgregator".
"גיליתי שאני יכול לבקר ב- Waze מכל דפדפן אינטרנט בכתובת waze.com/livemap, אז החלטתי לבדוק איך מיישמים את אייקוני הנהג האלה. מה שמצאתי הוא שאני יכול לבקש מ- API של Waze מידע מיקום על ידי שליחת קואורדינטות קו רוחב ואורך. פרט למידע התעבורתי החיוני, Waze שולחת לי גם קואורדינטות של נהגים אחרים שנמצאים בקרבת מקום. מה שמשך את עיניי הוא שמספרי הזיהוי (ID) הקשורים לאייקונים לא משתנים לאורך זמן. החלטתי לעקוב אחר נהג אחד ואחרי זמן מה הוא באמת הופיעה במקום אחר באותו כביש", כותב גספר.
"ברגע שהצלחתי לשייך נתוני מיקום שנסרקו עם מזהה ייחודי, ידעתי שחייבת להיות דרך לזהות מי עומד מאחורי הסמל. [...] גיליתי שאם המשתמש מדווח על מכשול כלשהו או מדווח על סיור משטרתי, מזהה המשתמש יחד עם שם המשתמש מוחזר על ידי ה- API של Waze לכל Wazer שנוסע במקום. היישום בדרך כלל לא מציג נתונים אלה, אלא אם כן נוצרת הערה מפורשת על ידי המשתמש. תגובת ה- API מכילה את שם המשתמש, המזהה, מיקום האירוע ואפילו הזמן בו דיווח. עוד דליפת פרטיות ממש שם."
מאז הפרסום, גוגל תיקנה את הכשל בAPI.
חוקר אבטחה גילה פגיעות באפליקציית Waze של גוגל שיכולה לאפשר להאקרים לזהות אנשים המשתמשים באפליקציית הניווט הפופולרית ולעקוב אחרי המיקום שלהם
https://www.malgregator.com/post/waze-how-i-tracked-your-mother/
חוקר אבטחה גילה פגיעות באפליקציית Waze של גוגל שיכולה לאפשר להאקרים לזהות אנשים המשתמשים באפליקציית הניווט הפופולרית ולעקוב אחרי המיקום שלהם. מהנדס DevOps בתחום האבטחה, פיטר גספר, גילה כשל בממשק API בתוכנת הניווט שאפשר לו לעקוב אחר התנועות הספציפיות של הנהגים הסמוכים בזמן אמת ואף לזהות בדיוק מי הם, כך גילה בפוסט בבלוג באתר המחקר שלו, "malgregator".
"גיליתי שאני יכול לבקר ב- Waze מכל דפדפן אינטרנט בכתובת waze.com/livemap, אז החלטתי לבדוק איך מיישמים את אייקוני הנהג האלה. מה שמצאתי הוא שאני יכול לבקש מ- API של Waze מידע מיקום על ידי שליחת קואורדינטות קו רוחב ואורך. פרט למידע התעבורתי החיוני, Waze שולחת לי גם קואורדינטות של נהגים אחרים שנמצאים בקרבת מקום. מה שמשך את עיניי הוא שמספרי הזיהוי (ID) הקשורים לאייקונים לא משתנים לאורך זמן. החלטתי לעקוב אחר נהג אחד ואחרי זמן מה הוא באמת הופיעה במקום אחר באותו כביש", כותב גספר.
"ברגע שהצלחתי לשייך נתוני מיקום שנסרקו עם מזהה ייחודי, ידעתי שחייבת להיות דרך לזהות מי עומד מאחורי הסמל. [...] גיליתי שאם המשתמש מדווח על מכשול כלשהו או מדווח על סיור משטרתי, מזהה המשתמש יחד עם שם המשתמש מוחזר על ידי ה- API של Waze לכל Wazer שנוסע במקום. היישום בדרך כלל לא מציג נתונים אלה, אלא אם כן נוצרת הערה מפורשת על ידי המשתמש. תגובת ה- API מכילה את שם המשתמש, המזהה, מיקום האירוע ואפילו הזמן בו דיווח. עוד דליפת פרטיות ממש שם."
מאז הפרסום, גוגל תיקנה את הכשל בAPI.
