כשל בשירות WAZE חשף משתמשים למעקב 

חוקר אבטחה גילה פגיעות באפליקציית Waze של גוגל שיכולה לאפשר להאקרים לזהות אנשים המשתמשים באפליקציית הניווט הפופולרית ולעקוב אחרי המיקום שלהם

חוקר אבטחה גילה פגיעות באפליקציית Waze של גוגל שיכולה לאפשר להאקרים לזהות אנשים המשתמשים באפליקציית הניווט הפופולרית ולעקוב אחרי המיקום שלהם. מהנדס DevOps בתחום האבטחה, פיטר גספר, גילה כשל בממשק API בתוכנת הניווט שאפשר לו לעקוב אחר התנועות הספציפיות של הנהגים הסמוכים בזמן אמת ואף לזהות בדיוק מי הם, כך גילה בפוסט בבלוג באתר המחקר שלו, "malgregator".

"גיליתי שאני יכול לבקר ב- Waze מכל דפדפן אינטרנט בכתובת waze.com/livemap, אז החלטתי לבדוק איך מיישמים את אייקוני הנהג האלה. מה שמצאתי הוא שאני יכול לבקש מ- API של Waze מידע מיקום על ידי שליחת קואורדינטות קו רוחב ואורך. פרט למידע התעבורתי החיוני, Waze שולחת לי גם קואורדינטות של נהגים אחרים שנמצאים בקרבת מקום. מה שמשך את עיניי הוא שמספרי הזיהוי (ID) הקשורים לאייקונים לא משתנים לאורך זמן. החלטתי לעקוב אחר נהג אחד ואחרי זמן מה הוא באמת הופיעה במקום אחר באותו כביש", כותב גספר. 

"ברגע שהצלחתי לשייך נתוני מיקום שנסרקו עם מזהה ייחודי, ידעתי שחייבת להיות דרך לזהות מי עומד מאחורי הסמל. [...] גיליתי שאם המשתמש מדווח על מכשול כלשהו או מדווח על סיור משטרתי, מזהה המשתמש יחד עם שם המשתמש מוחזר על ידי ה- API של Waze לכל Wazer שנוסע במקום. היישום בדרך כלל לא מציג נתונים אלה, אלא אם כן נוצרת הערה מפורשת על ידי המשתמש. תגובת ה- API מכילה את שם המשתמש, המזהה, מיקום האירוע ואפילו הזמן בו דיווח. עוד דליפת פרטיות ממש שם." 

מאז הפרסום, גוגל תיקנה את הכשל בAPI. 

אולי יעניין אותך גם

הכוחות המיוחדים של צבא אוסטרליה במהלך אימון ראווה, ארכיון. צילום: REUTERS/Mick Tsikas

ההתעללות באפגניסטן: אוסטרליה מדיחה לפחות 10 חיילים

עשרת החיילים המודחים צפו במעשי הרצח של אסירים ואזרחים אפגנים בלתי חמושים שבוצעו על ידי עמיתיהם ליחידת העלית האוסטרלית, או סייעו להם