0
0
A empresa já corrigiu uma falha de API que permitiu a um pesquisador de segurança usar o aplicativo para encontrar a identidade real dos motoristas que o usam.
Um pesquisador de segurança descobriu uma vulnerabilidade no aplicativo Waze do Google que pode permitir que hackers identifiquem pessoas usando o aplicativo de navegação popular e rastreá-las por sua localização.
O engenheiro de segurança DevOps Peter Gasper descobriu uma falha de API no software de navegação que lhe permitiu rastrear os movimentos específicos de motoristas próximos em tempo real e até mesmo identificar exatamente quem eles são, ele revelou em uma postagem de blog em seu site de pesquisa, “malgregator”.
O Waze usa informações coletadas com o objetivo de alertar os motoristas sobre os obstáculos que podem atrapalhar seu trajeto, como congestionamento, obras, acidentes e outros, e então sugere rotas alternativas e mais rápidas para contornar esses obstáculos. O aplicativo também exibe a localização de outros motoristas nas proximidades, bem como suas localizações GPS.
Gasper relatou o último bug do Waze ao Google em dezembro passado e foi recompensado com uma recompensa por bug de US $ 1.337 do Programa de Recompensa de Vulnerabilidade do Google em janeiro de 2020, revelando a falha publicamente em agosto. A empresa disse que já corrigiu a falha.
Gasper disse que sua pesquisa começou inocentemente quando percebeu que poderia visitar o Waze de qualquer navegador em waze.com/livemap e decidiu ver como o aplicativo implementava os ícones de outros motoristas próximos. Ele descobriu que não apenas o Waze envia a ele as coordenadas de outros motoristas próximos, mas também que os “números de identificação (ID) associados aos ícones não mudam com o tempo”, Gasper observou em sua postagem.
Ao gerar o editor de código e construir uma extensão do Chromium para capturar respostas JSON da API, os pesquisadores descobriram que ele podia “visualizar como os usuários viajavam amplamente entre os distritos da cidade ou até mesmo as próprias cidades”.
Inspirado por um artigo de pesquisa publicado em 2013 que afirmava que apenas quatro pontos espaço-temporais são suficientes para identificar com exclusividade 95 por cento das pessoas, Gasper disse que decidiu dar um passo adiante para tentar identificar com especificidade os drivers que ele foi capaz de rastrear dentro Waze.
Ele começou com sua própria identificação e usou apenas o mapa do Waze, descobrindo que em uma área de baixa densidade, ele poderia rastrear sua própria identificação monitorando sua própria localização.
“Com tempo suficiente, um invasor descobriria a identificação da vítima perseguindo sua localização conhecida”, observou Gasper. No entanto, percebendo que isso não seria escalonável para vários usuários, ele foi mais fundo e encontrou “outro vazamento de privacidade” que permitiria aos hackers identificar uma gama mais ampla de drivers específicos usando o Waze.
“Eu descobri que se o usuário reconhecer qualquer obstáculo na estrada ou patrulha policial relatada, o ID do usuário junto com o nome de usuário é retornado pela API do Waze a qualquer Wazer que esteja dirigindo pelo local”, explicou ele em seu post. “O aplicativo geralmente não mostra esses dados, a menos que haja um comentário explícito criado pelo usuário, mas a resposta da API contém o nome de usuário, ID, local de um evento e até mesmo a hora em que foi confirmado.”
Para aproveitar esta vulnerabilidade, um invasor pode escolher vários locais com alto tráfego e notificação existente de curta / longa duração sobre o obstáculo, então chamar periodicamente a API e encontrar usuários que confirmaram a existência de um obstáculo, disse ele.
Como muitos usuários realmente usam seus nomes legítimos como nomes de usuário no aplicativo, com o tempo um invasor “pode construir um dicionário de nomes de usuário e seus IDs”, bem como “armazenar todos os locais de ícones e correlacioná-los com os usuários”, disse Gasper .
Rumores de que o Waze e outros aplicativos que usam informações de crowdsourcing não são seguros já surgiram alguns anos atrás com um relatório (PDF) dos pesquisadores da Universidade de Santa Bárbara. Eles descobriram que, uma vez que um usuário do Waze fosse identificado, eles poderiam ecoar a localização GPS dessa pessoa criando um “piloto fantasma”. Isso daria a alguém a capacidade de seguir virtualmente a vítima por meio de um ataque man-in-the-middle, relatando suas localizações de GPS.
FONTE: MUNDO HACKER