מחשב מסלול אינסופי: התקפת סייבר מדומה על Waze יצרה פקקים פקטיביים
תוכנה שפותחה על ידי שתי סטודנטיות מהטכניון הצליחה "לפרוץ" לתוכנת הניווט Waze ולהערים על הנהגים באמצעות פקקי תנועה פיקטיביים
מקור: יח"צ
צמד סטודנטיות מהטכניון הצליחו להתקיף את אחת מהאפליקציות הנפוצות והפופולאריות ביותר בקרב משתמשי הסמארטפונים: Waze. במסגרת המתקפה הצליחו הסטודנטיות לגרום לנהגים לסטות מדרכם ולנסוע בדרכים חלופיות אל היעד, אך האם מדובר על סיכון משמעותי או מכשול קטן בדרך מהעבודה?
מכוונות את התנועה
נדמה שעבור רוב המשתמשים זה לא ממש משנה אם הם מכירים את הדרך מהעבודה לבית בע״פ והם יעדיפו לפתוח את אפליקציית Waze על מנת לקבל הערכה כמה זמן יקח להם להגיע מהמשרד הביתה. האפליקציה עשויה לעזור למשתמשים להמנע מפקק גדול ולעקוף אותו ולכן שימושית גם בדרכים מוכרות.
לצערם של אותם נהגים, שתי סטודנטיות מהטכניון, שיר ידיד ומיטל בן סיני מהפקולטה למדעי המחשב בטכניון הצליחו לייצר תוכנה שלמעשה מייצרת פקקים מדומים באפליקציה. התוכנה אותה יצרו הסטודנטיות הצליחה ליצור עומסי תנועה פיקטיביים ובכך לגרום לנהגים לסטות ממסלולם.
התוכנה אותה פיתחו הסטודנטיות דרשה מהן לפעול בשלושה שלבים על מנת להערים על תוכנת הניווט. בשלב הראשון הן כתבו תוכנה המייצרת משתמשים פיקטיביים בצורה אוטומטית באפליקציה, ובעזרתה יצרו לעצמן כמה עשרות משתמשים חדשים המשתמשים, כביכול, בעשרות מכשירי סמארטפון שונים.
בשלב השני, דאגו הבנות לכך שהמערכת תוכל לזייף את מיקומם של הנהגים השונים, כך שיסעו וירטואלית ברחבי הכבישים השונים באפליקציה. לחילופין, יכלו הבנות להגדיר שכל אותם נהגים יתמקדו באיזור אחד מסויים, על מנת להפעיל את השלב הבא בתהליך. בשלב השלישי והאחרון, יצרו הסטודנטיות תבניות נסיעה שגרמו לאפליקציה לחשוב שהדרכים המסויימות הללו פקוקות.
השתיים מבהירות כי השלב השלישי היה הקשה ביותר בפרוייקט, שכן היה עליהן לפצח את אלגוריתמי הפקקים הקיימים באפליקציה. לשם כך ביצעו ניסויים ברחבי קמפוס הטכניון בחיפה, החל מדימוי נסיעה איטית ורצופה, דרך הוספת נסיעה מהירה לפני כן ועד הוספת עצירות מוחלטות בנקודות זמן שונות.
לבסוף הצליחו למצוא את "נוסחת הקסם" על מנת ליצור את הפקקים המדומים, ולגרום לאפליקציה להפנות את הנהגים אל דרכים חלופיות. כמובן שלאחר שהצליחו במשימתן פנו השתיים אל חברת Waze, על מנת שתוכל לבדוק, לנטר ולבסוף לחסום את אפשרות התקיפה המדוברת – כך שמשתמשים בעלי כוונות קצת פחות טובות לא יוכלו לנצל אותה.
האם עומס תנועה יכול להוות מתקפת סייבר?
הנהגים הישראלים כבר יודעים ששעות קבועות בכבישים מסויימים הן עונש נוראי, הודות לעומסי תנועה, נהגים עצבניים והרצון להגיע כבר הביתה לאחר יום ארוך במיוחד. במחשבה ראשונה נראה כי התקיפה אותה ביצעו הסטודנטיות אינה בדיוק מתקפה, אלא שימוש לרעה באפליקציה על מנת להסיט את הנהגים ממסלולם – ולא הרבה מעבר לכך.
אך אם נכנס למוחם של משתמשים בעלי כוונות זדוניות, לצערנו נראה כי האפשרויות הן כמעט בלתי מוגבלות. כך לדוגמה, יוכלו משתמשים מסויימים להפנות את כל הנהגים אל כביש אחד עיקרי, על מנת שיוכלו לנסוע בכביש אחר ולהגיע הביתה במהרה, חברות מתחרות יוכלו לשבור את אמון המשתמשים ב-Waze על ידי הצגת מידע שגוי והמחשבות שלנו נודדות עד אירועים מעט פחות סימפטיים הדורשים התקהלות גדולה במקום מסויים, שאנו מעדיפים לא לחשוב עליהם בכלל.
מתקפת סייבר אינה נופלת תחת ההגדרה הספציפית של גניבת מידע, וחשוב לזכור זאת. למעשה, אם אתם שואלים אותנו נראה כי האפשרות לשלוט בתנועותיהם של המשתמשים נשמעת כמו מתקפה הרבה יותר חמורה ומדאיגה, במיוחד לאור העובדה שלנהגים אין אפשרות לדעת האם הם נמצאים בדרך הנכונה או לא.
אבל רגע לפני שאתם מעיפים את מכשיר הסמארטפון מהחלון ועוברים לגור באזור ללא חשמל ואינטרנט, חשוב להרגע ולהבין שלא הכל שחור. ניתן להגיד בוודאות ש-Waze תעשה כל שביכולתה על מנת לסגור את חור האבטחה המדובר במהירות האפשרית ולדאוג שהנהגים יתקעו רק בפקקים האמיתיים בדרך הביתה – בתקווה שגם אלה יעלמו במהרה.
מנחי הפרוייקט, פרופסור ערן יהב והדוקטורנט נמרוד פרטוש לצד הסטודנטיות מיטל בן סיני ושיר ידיד
חן אידן
אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.
הגב
6 תגובות על "מחשב מסלול אינסופי: התקפת סייבר מדומה על Waze יצרה פקקים פקטיביים"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
איזה תותחיות אתן!!
"ניתן להגיד בוודאות ש-Waze תעשה כל שביכולתה על מנת לסגור את חור האבטחה המדובר" – לא רואה איך הם סוגרים את ה"חור" הזה כי זה לא ממש חור אבטחה.
הפלטפורמה עושה מה שהיא צריכה לעשות וכל פלטפורמה בה אנשים מסתמכים על מידע שמשתמשים אחרים מזינים חשופה לשימוש זדוני שכזה.
כמו שכל אחד יכול ליצור מלא יוזרים פיקטיביים ולהציף אתרי ביקורות או למלא פורומים בהודעות ועוד ועוד. פשוט עם וויז המידע שמשתפים משפיע על קבלת ההחלטות של כלל המשתמשים – היתרון הכי גדול של הפלטפורמה, מסתבר, הוא גם החסרון שלה.
כל הכבוד להן.
עכשיו נשאר שווייז יסגרו את העניין שיוצר פקקים לא אמיתיים *גם בלי שום פריצה*.
שימו לב למחקר שפורסם בשנה שעברה:
https://media.blackhat.com/eu-13/briefings/Jeske/bh-eu-13-floating-car-data-jeske-wp.pdf
האם מוכר לכם?
חה חה חה…
מה גאונות???
גם מעתיקות וגם פוגעות. "חכמות" גדולות. מה הרעיון?? לא יכלו לנתב את השקעת הזמן למשהו הגיוני ואפקטיבי, שגם יתרום משהו?