כשל בשירות WAZE חשף משתמשים למעקב 

חוקר אבטחה גילה פגיעות באפליקציית Waze של גוגל שיכולה לאפשר להאקרים לזהות אנשים המשתמשים באפליקציית הניווט הפופולרית ולעקוב אחרי המיקום שלהם

חוקר אבטחה גילה פגיעות באפליקציית Waze של גוגל שיכולה לאפשר להאקרים לזהות אנשים המשתמשים באפליקציית הניווט הפופולרית ולעקוב אחרי המיקום שלהם. מהנדס DevOps בתחום האבטחה, פיטר גספר, גילה כשל בממשק API בתוכנת הניווט שאפשר לו לעקוב אחר התנועות הספציפיות של הנהגים הסמוכים בזמן אמת ואף לזהות בדיוק מי הם, כך גילה בפוסט בבלוג באתר המחקר שלו, "malgregator".

"גיליתי שאני יכול לבקר ב- Waze מכל דפדפן אינטרנט בכתובת waze.com/livemap, אז החלטתי לבדוק איך מיישמים את אייקוני הנהג האלה. מה שמצאתי הוא שאני יכול לבקש מ- API של Waze מידע מיקום על ידי שליחת קואורדינטות קו רוחב ואורך. פרט למידע התעבורתי החיוני, Waze שולחת לי גם קואורדינטות של נהגים אחרים שנמצאים בקרבת מקום. מה שמשך את עיניי הוא שמספרי הזיהוי (ID) הקשורים לאייקונים לא משתנים לאורך זמן. החלטתי לעקוב אחר נהג אחד ואחרי זמן מה הוא באמת הופיעה במקום אחר באותו כביש", כותב גספר. 

"ברגע שהצלחתי לשייך נתוני מיקום שנסרקו עם מזהה ייחודי, ידעתי שחייבת להיות דרך לזהות מי עומד מאחורי הסמל. [...] גיליתי שאם המשתמש מדווח על מכשול כלשהו או מדווח על סיור משטרתי, מזהה המשתמש יחד עם שם המשתמש מוחזר על ידי ה- API של Waze לכל Wazer שנוסע במקום. היישום בדרך כלל לא מציג נתונים אלה, אלא אם כן נוצרת הערה מפורשת על ידי המשתמש. תגובת ה- API מכילה את שם המשתמש, המזהה, מיקום האירוע ואפילו הזמן בו דיווח. עוד דליפת פרטיות ממש שם." 

מאז הפרסום, גוגל תיקנה את הכשל בAPI. 

אולי יעניין אותך גם

בתמונה מימין לשמאל: בועז לוי, מנכ"ל התעשייה האווירית ומורדי בן עמי, מנכ"ל תומר במעמד חתימת ההסכם. קרדיט לצילום – מיכאל וינרסקי/התעשייה האווירית

התחרות בשוק המנועים הרקטיים הישראלי גדלה: תעשייה אווירית חותמת על שיתוף פעולה עם תומר

תעשייה אווירית מחממת מנועים מול רפאל - במסגרת ההסכם ירחיבו החברות את הסינרגיה הקיימת ביניהן בתחומי ההנעה הרקטית והטילאות