Google’s Waze Mund të Lejojë Hackers të Identifikojnë dhe Ndjekin Përdoruesit

Kompania tashmë ka rregulluar një defekt në API që lejoi një studiues të sigurisë të përdorë aplikacionin për të gjetur identitetin e vërtetë të drejtuesve që e përdorin atë.

Një studiues i sigurisë ka zbuluar një dobësi në aplikacionin Waze të Google që mund të lejojë hakerat të identifikojnë njerëzit që përdorin aplikacionin e njohur të navigimit dhe t’i gjurmojnë ata sipas vendndodhjes së tyre.

Inxhinieri i DevOps i Sigurisë Peter Gasper zbuloi një defekt në API në softuerin e navigimit që e lejoi atë të gjurmonte lëvizjet specifike të shoferëve në afërsi në kohë reale dhe madje të identifikonte saktësisht se kush janë ata, ai zbuloi në një postim në blog në faqen e tij të hulumtimit, “malgregator”.

Waze përdor informacione me burim njerëzie që synojnë të paralajmërojnë drejtuesit e mjeteve në lidhje me pengesat që mund të jenë në rrugën e tyre të një udhëtimi të lehtë – të tilla si bllokime trafiku, ndërtime, aksidente dhe të ngjashme – dhe më pas sugjeron rrugë alternative dhe më të shpejta rreth këtyre pengesave. Aplikacionet gjithashtu shfaqin vendndodhjen e drejtuesve të tjerë në afërsi, si dhe vendndodhjet e tyre GPS.

Gasper tha se kërkimi i tij filloi mjaft pafajësisht kur ai e kuptoi se mund të vizitonte Waze nga çdo shfletues uebi në waze.com/livemap dhe vendosi të shihte se si aplikacioni zbatonte ikonat e drejtuesve të tjerë afër. Ai zbuloi se jo vetëm që Waze i dërgon atij koordinatat e shoferëve të tjerë aty pranë, por gjithashtu se “numrat e identifikimit (ID) të lidhur me ikonat nuk po ndryshonin me kalimin e kohës”, vërejti Gasper në postimin e tij.

Duke pjellë redaktuesin e kodit dhe duke ndërtuar një shtrirje të Chromium për të kapur përgjigjet e JSON nga API, studiuesit zbuluan se ai mund të “vizualizonte se si përdoruesit udhëtonin gjerësisht midis rretheve të qytetit apo edhe vetë qyteteve”.

Frymëzuar nga një letër kërkimore e botuar në 2013 që pretendonte se vetëm katër pika hapësinore-kohore janë të mjaftueshme për të identifikuar në mënyrë unike 95 përqind të njerëzve, Gasper tha se ai vendosi të shkojë një hap më tej për të provuar të identifikojë me specifikën e shoferëve që ishte në gjendje të gjurmonte brenda Waze.

Ai filloi me letërnjoftimin e tij dhe përdori vetëm hartën Waze, duke zbuluar se në një zonë me dendësi të ulët, ai mund të gjurmonte ID e tij duke monitoruar vendndodhjen e tij.

Me kohë të mjaftueshme, një sulmues do të zbulonte ID-në e viktimës duke ndjekur vendndodhjen e saj të njohur. Sidoqoftë, duke e kuptuar që kjo nuk do të shkallëzohej për përdorues të shumtë, ai gërmoi më thellë dhe gjeti “një rrjedhje tjetër të privatësisë” që do të lejonte hakerat të identifikonin një gamë më të gjerë të drejtuesve specifik që përdorin Waze.

Kane zbuluar që nëse përdoruesi pranon ndonjë pengesë rrugore ose raporton patrullimin e policisë, ID-ja e përdoruesit së bashku me emrin e përdoruesit kthehet nga Waze API tek çdo Wazer që lëviz përmes vendit.” Aplikacioni zakonisht nuk i tregon këto të dhëna nëse nuk ka një koment të qartë të krijuar nga përdoruesi, por përgjigja e API përmban emrin e përdoruesit, ID, vendndodhjen e një ngjarjeje dhe madje edhe një kohë kur ajo u pranua.

Për të shfrytëzuar këtë dobësi, një sulmues mund të zgjedhë lokacione të shumta me trafik të lartë dhe njoftim ekzistues të shkurtër / të gjatë të ekzekutimit në pengesë, pastaj telefonon në mënyrë periodike në API dhe gjen përdorues që konfirmojnë ekzistencën e një pengese, tha ai.

Për shkak se shumë përdorues në të vërtetë përdorin emrat e tyre të ligjshëm si emra përdorues në aplikacion, me kalimin e kohës një sulmues “mund të ndërtojë një fjalor me emrat e përdoruesve dhe ID-të e tyre”, si dhe “të ruajë të gjitha vendet e ikonave dhe t’i korrelatojë ato me përdoruesit”.

Ata zbuluan se sapo të identifikohej një përdorues i Waze, ata mund të bënin jehonë në vendndodhjen GPS të atij personi duke krijuar një “kalorës fantazmë”.

Kjo do t’i jepte dikujt aftësinë për të ndjekur virtualisht viktimën përmes një sulmi njeri në mes, duke raportuar vendet e tyre GPS.