פרצת אבטחה מסוכנת ב-וויז

מפת וויז (צילומסך)

סכנה ב-Waze: פרצת אבטחה באפליקציית הניווט הפופולרית של גוגל, שנוצרה ועדיין מפותחת בישראל, יכולה לאפשר להאקרים לעקוב במדויק אחר תנועותיהם של משתמשים; כך חושף אתר Fusion.

את הפרצה גילו חוקרים מאוניברסיטת קליפורניה, סנטה-ברברה. לפי הדיווח, הפרצה מאפשרת ליצור אלפי "נהגי רפאים" - ייצוגים של משתמשי Waze שלא קיימים בפועל, שיכולים לנטר את הנהגים האמיתיים סביבם וכך לעקוב אחר משתמשי האפליקציה בזמן אמת.

החוקרים הדגימו לכתבת האתר כיצד עובדת הפרצה כאשר במשך שלושה ימים עקבו בהצלחה אחר תנועותיה בסן פרנסיסקו ובלאס וגאס. "מדובר בבעיית פרטיות מאסיבית", אמר לאתר החוקר המוביל בצוות שגילה את הפרצה, פרופ' בן זאו מהמחלקה למדעי המחשב באוניברסיטה.

הפרצה יכולה להביא לשיבוש הפעילות הסדירה של האפליקציה, למשל באמצעות הצבת מספר משתמשי רפאים רב בכביש אחד ויצירת מצג שווא של פקק תנועה. אולם, יכולת בעייתית יותר היא האפשרות לעקוב אחר משתמשים ספציפיים, כפי שגילו החוקרים בניסוי שערכו לאחד מחברי צוותם. “הוא נסע בין 20 ל-30 מיילים ביום והצלחנו לנטר את המיקום שלו כמעט כל הזמן", אמר זאו ל-Fusion. “הוא עצר בתחנת דלק ובבית מלון".

אפליקציית Waze מתקשרת באופן קבוע עם שרתים מרוחקים, על מנת לספק מידע בזמן אמת ולקבל עדכונים רלוונטיים מהנהגים. במסגרת המחקר גילו זאו ותלמידיו שהם יכולים ליירט את התקשורת הזו באמצעות שליחת המידע מהטלפון שלהם לשרתם שלהם ששימש כמתווך עם השרת של Waze. בעקבות כך הצליח הצוות לבצע הנדסה לאחור של האופן שבו "מדברת" האפליקציה עם השרתים, ולנצל את הידע על מנת לכתוב תוכנה שמסוגלת לשלוח פקודות ישירות לשרתי Waze.

לדבריו של פרופ' זאו, ניתן לשכלל את המערכת שביצעה את הפרצה ולבצע מעקב בזמן אמת אחרי מיליוני משתמשים בו זמנית באמצעות מספר קטן של שרתים. “לו רציתי, יכולתי לנטר את כל ארה"ב בזמן אמת יש לי בין 50 ל-100 שרתים, ובאמצעות רכישת שירותי ענן מאמזון אני יכול לנטר את כל הנהגים".

מ-Waze נמסר בתגובה: “Waze משפרת בקביעות את המנגנונים והכלים שמונעים ניצול ושימוש לרעה. קבוצת החוקרים יצרה אתנו קשר ב-2014, וכבר טיפלנו בחלק מטענותיהם והטמענו מנגנוני אבטחה במערכת שלנו על מנת להגן על פרטיות המשתמשים".

בין השינויים שהטמיעה Waze בעקבות פניית החוקרים נכללת הפסקת שידור מיקומו של המשתמש כאשר האפליקציה פועלת ברקע. ואולם, לפי הדיווח גם עתה אין מניעה לנטר את מיקומו של נהג שעושה שימוש פעיל באפליקציה.

פרצת אבטחה מסוכנת ב-וויז מאפשרת מעקב בזמן אמת אחר משתמשים

פרצת אבטחה באפליקציית הניווט הפופולרית של גוגל, שנוצרה ועדיין מפותחת בישראל, יכולה לאפשר להאקרים לעקוב במדויק אחר תנועותיהם של משתמשים; כך חושף אתר Fusion (דיגיטל)

כוננות ספיגה בישראל: השיבושים ב-waze והמסר האיראני

גם להישאר בעולם התורה וגם להתפרנס בכבוד

אחרי הצפון, כעת במרכז: שיבושים באפליקציות הניווט בארץ

איפה עוד תקבלו 52 שקל לשעה?

כך איראנים מנסים לתקוף ישראלים ברשת; "הימנעו מלחיצות"

פארק הירקון בפ"ת? הכירו את מתחם הנדל"ן הכי מדובר בענף

חרם ענק על טוויטר בעקבות האנטישמיות של אילון מאסק

כך תוכלו לשלוח 'וואטסאפ' - גם למספר שלא שמור אצלכם

אשת האברך התמכרה ל'וואטסאפ' ולרשתות החברתיות ואיבדה את חייה | סיפור מטלטל

וואטסאפ במהלך גאוני: בקרוב - הודעות "קוליות" בוידאו

אפליקציית ריגול התגלתה בחנות האפליקציות של גוגל

ישיבת טל חרמון - הבחירה המושלמת לנוער חרדי המעוניין להשכלה מקצועית

יש לכם 'וי כחול' בפרופיל? טוויטר מודיעה על שינוי מיידי

שיואמי מפתיעה: טעינה מלאה בחמש דקות

צפוי: שבבים עם קליטה לווינית יתווספו למכשירים שלנו

לא תאמינו: כמה שווה אייפון 1 סגור באריזה?

פרויקט מיוחד! זהו דור העתיד של לוחמי הסייבר החרדיים

עובד לשעבר: 'פייסבוק' בכוונה מחסלת לכם את הסוללה

כשמקלב עקץ את איווט; "יש לך טלפון כשר מסיבות אחרות"

סוף סוף זה מגיע: העדכון שימנע מבוכה בקבוצות ה'וואטספ'

מחקר מפחיד: מטענים זולים יכולים להרוג

נדל"ן מניב בשליש מחיר? הכירו את ההשקעה החכמה בפתח תקווה

אילון מאסק במהלך מפתיע: חנינה לכל החשבונות המושעים

ומי פירגן לישראל בטוויטר? המנכ"ל החדש אילון מאסק

"וואטסאפ קהילות": הפתרון החדש של ענקית המסרים

וואטסאפ תשפר את שליחת ההודעות העצמיות

מתארגנים לחג עם 'קונים מקבלים' הכי שווה שיש

זהירות: הוואטסאפ שלכם חשוף לפריצה קריטית

"אזהרת אבטחה!"; ההודעה שהבהילה רבים

העדכון החדש של "וואטסאפ" שיציל אתכם