Waze je velmi užitečná navigační aplikace patřící Googlu. Ale také potenciální ohrožení vašeho soukromí. Výzkumníci z University of California-Santa Barbara zjistili, že je možné vytvořit množství vlastních uživatelů, které pak lze používat pro sledování polohy dalších uživatelů.
Celé to začíná tím, že jakkoliv Waze používá pro komunikaci mezi aplikacemi a servery šifrovanou (SSL) komunikaci, výzkumníkům se podařilo prostřednictvím proxy serveru získat přehled o tom, jak Waze aplikace a servery komunikují. Což jim umožnilo přímo z počítače, bez nutnosti používat mobil či emulaci mobilu, zakládat nové uživatele a poté je nechat cestovat.
Celé je to trochu podobné několik let staré bezpečnostní chybě, která umožňovala víceméně totéž – vytvářet neexistující auta a s jejich pomocí ovlivňovat informace o provozu, vytvářet neexistující zácpy.
Nová zranitelnost ale znamená to, že vytvořená vozidla jsou schopna zjišťovat informace o vozidlech v jejich okolí – to je základní funkčnost Waze, se kterou je nutné počítat.
Ale také je to funkčnost, která by neměla umožnit prakticky nepřetržité sledování. Waze dokonce tvrdí, že zobrazení polohy dalších vozidel nikdy není přesné (a měl by to být jeden z ochranných mechanismů). Podle toho, co se podařilo výzkumníkům zjistit, to ale není až tak pravda: pokud se rozhodnou někoho sledovat, mohou ho opravdu sledovat takřka neustále a se značnou přesností.
Ke sledování jim navíc mohou posloužit až tisíce falešných vozidel, které mohou umístit do mapy tak, aby obsáhli poměrně velký prostor. Dříve bylo dokonce možné uživatele Waze sledovat, aniž by aplikace běžela na popředí, ale tuhle bezpečnostní chybu tým Waze po upozorněních opravil. Nutno dodat, že uživatelům nic moc neřekli a opravu vydávali za úsporu baterie. Tedy jako výhodu, že Waze na pozadí nebude běžet a spotřebovávat energii.
Objevená zranitelnost je zneužitelná i v poměrně masovém měřítku, stačí mít pouze dostatečné množství serverů (což s AWS a dalšími cloudovými serverovými řešeními není problém) a útočníci se mohou dostat prakticky ke všem informacím, které se v síti Waze objevují. Což představuje něco okolo 50 milionů uživatelů.
Mimo sledování uživatelů je nově objevený způsob vytváření virtuálních vozidel stále stejně použitelný pro vytváření falešných dopravních zácp i dalších událostí. Nutno dodat, že pokud se zjištěné mechanismy uplatní na jakoukoliv další podobnou navigační aplikaci, bude nejspíš stejně zneužitelná – zásadní problém v nutném sdílení informací o řidičích v okolí tomu totiž vždy bude nahrávat. Nemusí se to navíc týkat zdaleka navigačních aplikací, něco podobného je nejspíš možné aplikovat třeba na Tinder a další seznamky založené na geolokačním principu.
Ke škodě Waze je, že tým výzkumníků si s jejich servery takto pohrává už někdy od roku 2014 a nikdy nenarazil na to, že by je nějaký mechanismus omezil. Přitom právě způsob a rychlost komunikace jejich falešných vozidel se servery Waze je výrazně odlišná od toho, jak komunikují reálná vozidla. Nehledě na takové drobnosti, že všechna jejich vozidla používala pouze několik, stále stejných, IP adres.
Pokud chcete kompletní informace o objevené zranitelnosti, zkuste Defending against Sybil Devices in Crowdsourced Mapping Services (PDF).