Hlavní navigace

Nesleduje vás ve Waze duch? Chyba umožňuje sledovat uživatele

 Autor: Waze / Google
Daniel Dočekal 2. 6. 2016

Nově objevená zranitelnost umožňuje sledovat uživatele této aplikace v reálném čase. Objevitelé chyby ji označují ze velmi závažnou.

Waze je velmi užitečná navigační aplikace patřící Googlu. Ale také potenciální ohrožení vašeho soukromí. Výzkumníci z University of California-Santa Barbara zjistili, že je možné vytvořit množství vlastních uživatelů, které pak lze používat pro sledování polohy dalších uživatelů.

Celé to začíná tím, že jakkoliv Waze používá pro komunikaci mezi aplikacemi a servery šifrovanou (SSL) komunikaci, výzkumníkům se podařilo prostřednictvím proxy serveru získat přehled o tom, jak Waze aplikace a servery komunikují. Což jim umožnilo přímo z počítače, bez nutnosti používat mobil či emulaci mobilu, zakládat nové uživatele a poté je nechat cestovat.

Celé je to trochu podobné několik let staré bezpečnostní chybě, která umožňovala víceméně totéž – vytvářet neexistující auta a s jejich pomocí ovlivňovat informace o provozu, vytvářet neexistující zácpy.

Nová zranitelnost ale znamená to, že vytvořená vozidla jsou schopna zjišťovat informace o vozidlech v jejich okolí – to je základní funkčnost Waze, se kterou je nutné počítat. 

Ale také je to funkčnost, která by neměla umožnit prakticky nepřetržité sledování. Waze dokonce tvrdí, že zobrazení polohy dalších vozidel nikdy není přesné (a měl by to být jeden z ochranných mechanismů). Podle toho, co se podařilo výzkumníkům zjistit, to ale není až tak pravda: pokud se rozhodnou někoho sledovat, mohou ho opravdu sledovat takřka neustále a se značnou přesností.

Ke sledování jim navíc mohou posloužit až tisíce falešných vozidel, které mohou umístit do mapy tak, aby obsáhli poměrně velký prostor. Dříve bylo dokonce možné uživatele Waze sledovat, aniž by aplikace běžela na popředí, ale tuhle bezpečnostní chybu tým Waze po upozorněních opravil. Nutno dodat, že uživatelům nic moc neřekli a opravu vydávali za úsporu baterie. Tedy jako výhodu, že Waze na pozadí nebude běžet a spotřebovávat energii.

Objevená zranitelnost je zneužitelná i v poměrně masovém měřítku, stačí mít pouze dostatečné množství serverů (což s AWS a dalšími cloudovými serverovými řešeními není problém) a útočníci se mohou dostat prakticky ke všem informacím, které se v síti Waze objevují. Což představuje něco okolo 50 milionů uživatelů.

Mimo sledování uživatelů je nově objevený způsob vytváření virtuálních vozidel stále stejně použitelný pro vytváření falešných dopravních zácp i dalších událostí. Nutno dodat, že pokud se zjištěné mechanismy uplatní na jakoukoliv další podobnou navigační aplikaci, bude nejspíš stejně zneužitelná – zásadní problém v nutném sdílení informací o řidičích v okolí tomu totiž vždy bude nahrávat. Nemusí se to navíc týkat zdaleka navigačních aplikací, něco podobného je nejspíš možné aplikovat třeba na Tinder a další seznamky založené na geolokačním principu.

WT100

Ke škodě Waze je, že tým výzkumníků si s jejich servery takto pohrává už někdy od roku 2014 a nikdy nenarazil na to, že by je nějaký mechanismus omezil. Přitom právě způsob a rychlost komunikace jejich falešných vozidel se servery Waze je výrazně odlišná od toho, jak komunikují reálná vozidla. Nehledě na takové drobnosti, že všechna jejich vozidla používala pouze několik, stále stejných, IP adres.

Pokud chcete kompletní informace o objevené zranitelnosti, zkuste Defending against Sybil Devices in Crowdsourced Mapping Services (PDF).

Našli jste v článku chybu?
Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Podnikatel.cz: ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

120na80.cz: Běžci, co jíst poslední dny před závodem?

Běžci, co jíst poslední dny před závodem?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina