חולשה ב-Waze איפשרה להאקרים לעקוב הנסיעות שלכם
מאחורי האייקונים התמימים של ווייז הסתתר גם מידע בעייתי שסיכן את פרטיות המשתמשים. החולשה דווחה על ידי חוקר האבטחה ותוקנה תוך מספר שבועות על ידי גוגל
אחד הפיצ’רים החברתיים של Waze הוא האפשרות לצפות במשתמשי Waze אחרים (ווייזרים) בצורת אייקונים על המפה. אבל חוקר אבטחה גילה חולשה באפליקצית הפופולארית שאיפשרה לו לעקוב אחרי נהגים באמצעות אותם אייקונים ואולי בסופו של דבר גם לזהות אותם.
המהנדס התחיל לעקוב אחרי נהגת אקראית
פיטר גספר, מהנדס DevOps וחוקר אבטחה סלובקי, ניגש לממשק הוובי של ווייז, וגילה שכשהוא לוחץ על אותם אייקונים תמימים של משתמשים, הוא מקבל בחזרה מה-API גם מספרים מזהים של הנהגים. אם לא די בזאת, גספר גילה שלא מדובר במספרים מגובבים או רנדומליים, אלא במספרים ייחודיים וקבועים שלא משתנים לאורך הזמן.
גספר מסביר שהוא החליט לעקוב אחרי נהגת רנדומלית, ואכן ראה שהוא מסוגל לראות אותה בנקודות שונות במפה לפי ההתקדמות שלה. כדי לבדוק את הסוגיה, פיתח גספר תוסף מבוסס כרומיום שלוכד תגובות JSON מה-API. מהרגע שהריץ החוקר את התוסף שיצר, הוא גילה שהוא יכול לעקוב אחרי המיקום של אותה נהגת בכל רגע. המהנדס החליט שלא להסתפק בפיתוח המעט מקריפ, והחליט לבדוק האם הוא יכול לגלות עוד פרטים על משתמשים בווייז, וגילה עוד פרט מדאיג.
“גיליתי שאם משתמש מגיב למכשול בדרך או לדיווח על ניידת, ה-API של ווייז מחזיר גם את ה-ID של המשתמש וגם את שם המשתמש לכל ווייזר אחר שנוסע באיזור”. בנוסף, ה-API גם משיב עם המיקום והזמן שבו המשתמש הגיב לדיווח. בסופו של דבר, אותן חולשות שגספר גילה יכלו לשמש האקר שכל שעליו לעשות הוא לבחור מיקומים עמוסים בתנועה עם דיווחים על מכשול, ולאסוף את המידע של המשתמשים שמאשרים את הדיווח, ולבנות מאגר לתקיפה בהמשך, בין אם וירטואלית או אפילו גרוע יותר – פיזית.
גספר דיווח על החולשה שמצא לווייז ובתוך קצת פחות מחודש היא תוקנה לחלוטין. בתמורה לתגלית קיבל גספר 1,337 דולר מהחברה במסגרת תוכנית ה-Bounty שלה. פנינו לווייז כדי להבין האם החולשה נוצלה לרעה בטרם התגלתה, ונעדכן כאשר תתקבל תגובה.
“האנשים שיכולים לחסום את איילון”: זה הצבא השקט שמאחורי Waze
הגב
2 תגובות על "חולשה ב-Waze איפשרה להאקרים לעקוב הנסיעות שלכם"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
ריבונו של עולם! זה אפילו לא בעיית אבטחה, זה פשוט זלזול באבטחה!
לא מבין מה הWOW הגדול, אין אפשרות לדעת מי המשתמשים שעומדים מאחורי הID רק אם תפרוץ לDB של WAZE.