Hlavní navigace

Nesleduje vás ve Waze duch? Chyba umožňuje sledovat uživatele

 Autor: Waze / Google
Daniel Dočekal

Nově objevená zranitelnost umožňuje sledovat uživatele této aplikace v reálném čase. Objevitelé chyby ji označují ze velmi závažnou.

Waze je velmi užitečná navigační aplikace patřící Googlu. Ale také potenciální ohrožení vašeho soukromí. Výzkumníci z University of California-Santa Barbara zjistili, že je možné vytvořit množství vlastních uživatelů, které pak lze používat pro sledování polohy dalších uživatelů.

Celé to začíná tím, že jakkoliv Waze používá pro komunikaci mezi aplikacemi a servery šifrovanou (SSL) komunikaci, výzkumníkům se podařilo prostřednictvím proxy serveru získat přehled o tom, jak Waze aplikace a servery komunikují. Což jim umožnilo přímo z počítače, bez nutnosti používat mobil či emulaci mobilu, zakládat nové uživatele a poté je nechat cestovat.

Celé je to trochu podobné několik let staré bezpečnostní chybě, která umožňovala víceméně totéž – vytvářet neexistující auta a s jejich pomocí ovlivňovat informace o provozu, vytvářet neexistující zácpy.

Nová zranitelnost ale znamená to, že vytvořená vozidla jsou schopna zjišťovat informace o vozidlech v jejich okolí – to je základní funkčnost Waze, se kterou je nutné počítat. 

Ale také je to funkčnost, která by neměla umožnit prakticky nepřetržité sledování. Waze dokonce tvrdí, že zobrazení polohy dalších vozidel nikdy není přesné (a měl by to být jeden z ochranných mechanismů). Podle toho, co se podařilo výzkumníkům zjistit, to ale není až tak pravda: pokud se rozhodnou někoho sledovat, mohou ho opravdu sledovat takřka neustále a se značnou přesností.

Ke sledování jim navíc mohou posloužit až tisíce falešných vozidel, které mohou umístit do mapy tak, aby obsáhli poměrně velký prostor. Dříve bylo dokonce možné uživatele Waze sledovat, aniž by aplikace běžela na popředí, ale tuhle bezpečnostní chybu tým Waze po upozorněních opravil. Nutno dodat, že uživatelům nic moc neřekli a opravu vydávali za úsporu baterie. Tedy jako výhodu, že Waze na pozadí nebude běžet a spotřebovávat energii.

Objevená zranitelnost je zneužitelná i v poměrně masovém měřítku, stačí mít pouze dostatečné množství serverů (což s AWS a dalšími cloudovými serverovými řešeními není problém) a útočníci se mohou dostat prakticky ke všem informacím, které se v síti Waze objevují. Což představuje něco okolo 50 milionů uživatelů.

Mimo sledování uživatelů je nově objevený způsob vytváření virtuálních vozidel stále stejně použitelný pro vytváření falešných dopravních zácp i dalších událostí. Nutno dodat, že pokud se zjištěné mechanismy uplatní na jakoukoliv další podobnou navigační aplikaci, bude nejspíš stejně zneužitelná – zásadní problém v nutném sdílení informací o řidičích v okolí tomu totiž vždy bude nahrávat. Nemusí se to navíc týkat zdaleka navigačních aplikací, něco podobného je nejspíš možné aplikovat třeba na Tinder a další seznamky založené na geolokačním principu.

Ke škodě Waze je, že tým výzkumníků si s jejich servery takto pohrává už někdy od roku 2014 a nikdy nenarazil na to, že by je nějaký mechanismus omezil. Přitom právě způsob a rychlost komunikace jejich falešných vozidel se servery Waze je výrazně odlišná od toho, jak komunikují reálná vozidla. Nehledě na takové drobnosti, že všechna jejich vozidla používala pouze několik, stále stejných, IP adres.

Pokud chcete kompletní informace o objevené zranitelnosti, zkuste Defending against Sybil Devices in Crowdsourced Mapping Services (PDF).

Našli jste v článku chybu?

6. 6. 2016 12:38

No zrovna s mosty moc Waze neporadí :-) Jinak Waze už pár let používám po celé Evropě a části Ruska a Asie právě proto, že dokáže pomoci při mimořádných situacích: uzavírka, nebezpečí (typicky auto neosvětlené stojící auto na cestě), zácpa, kolona, policejní kontrola+radar, což ušetří hodně času i peněz :-) Není dokonalá, taky dělá chyby, ale už jsem si na ni zvykl. Stačí mi, když data o mě bude znát jen Google, americká vláda, Izraelci a ne kdokoli...

7. 6. 2016 12:13

Kerou (neregistrovaný)

Nač tolik zášti, Rübezahl, k odlišným jedincům?

Vitalia.cz: Na pečení je nejlepší medovicový med

Na pečení je nejlepší medovicový med

Podnikatel.cz: Dárkové poukazy. Vaše byznys výhra

Dárkové poukazy. Vaše byznys výhra

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy