מחשב מסלול אינסופי: התקפת סייבר מדומה על Waze יצרה פקקים פקטיביים

תוכנה שפותחה על ידי שתי סטודנטיות מהטכניון הצליחה ”לפרוץ” לתוכנת הניווט Waze ולהערים על הנהגים באמצעות פקקי תנועה פיקטיביים

מקור: יח"צ

מקור: יח”צ

צמד סטודנטיות מהטכניון הצליחו להתקיף את אחת מהאפליקציות הנפוצות והפופולאריות ביותר בקרב משתמשי הסמארטפונים: Waze. במסגרת המתקפה הצליחו הסטודנטיות לגרום לנהגים לסטות מדרכם ולנסוע בדרכים חלופיות אל היעד, אך האם מדובר על סיכון משמעותי או מכשול קטן בדרך מהעבודה?

מכוונות את התנועה

נדמה שעבור רוב המשתמשים זה לא ממש משנה אם הם מכירים את הדרך מהעבודה לבית בע״פ והם יעדיפו לפתוח את אפליקציית Waze על מנת לקבל הערכה כמה זמן יקח להם להגיע מהמשרד הביתה. האפליקציה עשויה לעזור למשתמשים להמנע מפקק גדול ולעקוף אותו ולכן שימושית גם בדרכים מוכרות.

לצערם של אותם נהגים, שתי סטודנטיות מהטכניון, שיר ידיד ומיטל בן סיני מהפקולטה למדעי המחשב בטכניון הצליחו לייצר תוכנה שלמעשה מייצרת פקקים מדומים באפליקציה. התוכנה אותה יצרו הסטודנטיות הצליחה ליצור עומסי תנועה פיקטיביים ובכך לגרום לנהגים לסטות ממסלולם.

התוכנה אותה פיתחו הסטודנטיות דרשה מהן לפעול בשלושה שלבים על מנת להערים על תוכנת הניווט. בשלב הראשון הן כתבו תוכנה המייצרת משתמשים פיקטיביים בצורה אוטומטית באפליקציה, ובעזרתה יצרו לעצמן כמה עשרות משתמשים חדשים המשתמשים, כביכול, בעשרות מכשירי סמארטפון שונים.

בשלב השני, דאגו הבנות לכך שהמערכת תוכל לזייף את מיקומם של הנהגים השונים, כך שיסעו וירטואלית ברחבי הכבישים השונים באפליקציה. לחילופין, יכלו הבנות להגדיר שכל אותם נהגים יתמקדו באיזור אחד מסויים, על מנת להפעיל את השלב הבא בתהליך. בשלב השלישי והאחרון, יצרו הסטודנטיות תבניות נסיעה שגרמו לאפליקציה לחשוב שהדרכים המסויימות הללו פקוקות.

השתיים מבהירות כי השלב השלישי היה הקשה ביותר בפרוייקט, שכן היה עליהן לפצח את אלגוריתמי הפקקים הקיימים באפליקציה. לשם כך ביצעו ניסויים ברחבי קמפוס הטכניון בחיפה, החל מדימוי נסיעה איטית ורצופה, דרך הוספת נסיעה מהירה לפני כן ועד הוספת עצירות מוחלטות בנקודות זמן שונות.

לבסוף הצליחו למצוא את “נוסחת הקסם” על מנת ליצור את הפקקים המדומים, ולגרום לאפליקציה להפנות את הנהגים אל דרכים חלופיות. כמובן שלאחר שהצליחו במשימתן פנו השתיים אל חברת Waze, על מנת שתוכל לבדוק, לנטר ולבסוף לחסום את אפשרות התקיפה המדוברת – כך שמשתמשים בעלי כוונות קצת פחות טובות לא יוכלו לנצל אותה.

האם עומס תנועה יכול להוות מתקפת סייבר?

הנהגים הישראלים כבר יודעים ששעות קבועות בכבישים מסויימים הן עונש נוראי, הודות לעומסי תנועה, נהגים עצבניים והרצון להגיע כבר הביתה לאחר יום ארוך במיוחד. במחשבה ראשונה נראה כי התקיפה אותה ביצעו הסטודנטיות אינה בדיוק מתקפה, אלא שימוש לרעה באפליקציה על מנת להסיט את הנהגים ממסלולם – ולא הרבה מעבר לכך.

אך אם נכנס למוחם של משתמשים בעלי כוונות זדוניות, לצערנו נראה כי האפשרויות הן כמעט בלתי מוגבלות. כך לדוגמה, יוכלו משתמשים מסויימים להפנות את כל הנהגים אל כביש אחד עיקרי, על מנת שיוכלו לנסוע בכביש אחר ולהגיע הביתה במהרה, חברות מתחרות יוכלו לשבור את אמון המשתמשים ב-Waze על ידי הצגת מידע שגוי והמחשבות שלנו נודדות עד אירועים מעט פחות סימפטיים הדורשים התקהלות גדולה במקום מסויים, שאנו מעדיפים לא לחשוב עליהם בכלל.

מתקפת סייבר אינה נופלת תחת ההגדרה הספציפית של גניבת מידע, וחשוב לזכור זאת. למעשה, אם אתם שואלים אותנו נראה כי האפשרות לשלוט בתנועותיהם של המשתמשים נשמעת כמו מתקפה הרבה יותר חמורה ומדאיגה, במיוחד לאור העובדה שלנהגים אין אפשרות לדעת האם הם נמצאים בדרך הנכונה או לא.

אבל רגע לפני שאתם מעיפים את מכשיר הסמארטפון מהחלון ועוברים לגור באזור ללא חשמל ואינטרנט, חשוב להרגע ולהבין שלא הכל שחור. ניתן להגיד בוודאות ש-Waze תעשה כל שביכולתה על מנת לסגור את חור האבטחה המדובר במהירות האפשרית ולדאוג שהנהגים יתקעו רק בפקקים האמיתיים בדרך הביתה – בתקווה שגם אלה יעלמו במהרה.

מימין לשמאל: מנחי הפרוייקט, פרופסור ערן יהב והדוקטורנט נמרוד פרטוש לצד הסטודנטיות מיטל בן סיני ושיר ידיד

מנחי הפרוייקט, פרופסור ערן יהב והדוקטורנט נמרוד פרטוש לצד הסטודנטיות מיטל בן סיני ושיר ידיד

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

6 Comments on "מחשב מסלול אינסופי: התקפת סייבר מדומה על Waze יצרה פקקים פקטיביים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
אלין
Guest

איזה תותחיות אתן!!

עידן
Guest

“ניתן להגיד בוודאות ש-Waze תעשה כל שביכולתה על מנת לסגור את חור האבטחה המדובר” – לא רואה איך הם סוגרים את ה”חור” הזה כי זה לא ממש חור אבטחה.
הפלטפורמה עושה מה שהיא צריכה לעשות וכל פלטפורמה בה אנשים מסתמכים על מידע שמשתמשים אחרים מזינים חשופה לשימוש זדוני שכזה.
כמו שכל אחד יכול ליצור מלא יוזרים פיקטיביים ולהציף אתרי ביקורות או למלא פורומים בהודעות ועוד ועוד. פשוט עם וויז המידע שמשתפים משפיע על קבלת ההחלטות של כלל המשתמשים – היתרון הכי גדול של הפלטפורמה, מסתבר, הוא גם החסרון שלה.

asd
Guest
יש אפשרות לייצר מוניטין למשתמשים. משתמשים חדשים יכולים להשפיע בצורה מועטה על האלגוריתם בעוד משתמשים שזוהו כאנושיים (על סמך המון פרמטרים שאפשר להגדיר ויכול להגיד מישהו משתמש אנושי) יוכלו להשפיע יותר. יש לך 1000 נהגים בכביש. 900 מתוכם חדשים ולא עשו פעולות “אנושיות” עד כה, אתה תסתמך עליהם פחות לעומת ה-100 הוותיקים שנמצאים שם. מה גם שבפקק כמו בפקק, מספיק משתמש אחד ש”מחליק” מנקודה א’ לנקודה ב’ במהירות גבוהה יחסית לעומת השאר שנוסעים ב-0 קמ”ש כדי לתת למערכת אפשרות להדליק נורה אדומה ולבדוק מה קורה במקטע הזה. אתה יכול לשגר הודעות “האם אתה בפקק” לאחוז מסויים מהנהגים ולראות מי מהם… Read more »
asd
Guest

כל הכבוד להן.
עכשיו נשאר שווייז יסגרו את העניין שיוצר פקקים לא אמיתיים *גם בלי שום פריצה*.

בונדי
Guest

שימו לב למחקר שפורסם בשנה שעברה:
https://media.blackhat.com/eu-13/briefings/Jeske/bh-eu-13-floating-car-data-jeske-wp.pdf

האם מוכר לכם?
חה חה חה…

ש
Guest

מה גאונות???
גם מעתיקות וגם פוגעות. “חכמות” גדולות. מה הרעיון?? לא יכלו לנתב את השקעת הזמן למשהו הגיוני ואפקטיבי, שגם יתרום משהו?

wpDiscuz

תגיות לכתבה: