פרצת אבטחה מסוכנת ב-Waze מאפשרת מעקב בזמן אמת אחר משתמשים

CALCALIST, עומר כביר, 27.04.16

אפליקציית Waze. החוקרים יצרו פרצה שביכולתה להציף את האפליקציה באלפי משתמשים פיקטיביים

אפליקציית Waze. החוקרים יצרו פרצה שביכולתה להציף את האפליקציה באלפי משתמשים פיקטיביים

סכנה ב-Waze פרצת אבטחה באפליקציית הניווט הפופולרית של גוגל, שנוצרה ועדיין מפותחת בישראל, יכולה לאפשר להאקרים לעקוב במדויק אחר תנועותיהם של משתמשים; כך חושף אתר Fusion.

החוקרים הדגימו לכתבת האתר כיצד עובדת הפרצה כאשר במשך שלושה ימים עקבו בהצלחה אחר תנועותיה בסן פרנסיסקו ובלאס וגאס. "מדובר בבעיית פרטיות מאסיבית", אמר לאתר החוקר המוביל בצוות שגילה את הפרצה, פרופ' בן זאו מהמחלקה למדעי המחשב באוניברסיטה.

הפרצה יכולה להביא לשיבוש הפעילות הסדירה של האפליקציה, למשל באמצעות הצבת מספר משתמשי רפאים רב בכביש אחד ויצירת מצג שווא של פקק תנועה. אולם, יכולת בעייתית יותר היא האפשרות לעקוב אחר משתמשים ספציפיים, כפי שגילו החוקרים בניסוי שערכו לאחד מחברי צוותם. “הוא נסע בין 20 ל-30 מיילים ביום והצלחנו לנטר את המיקום שלו כמעט כל הזמן", אמר זאו ל-Fusion. “הוא עצר בתחנת דלק ובבית מלון"

לדבריו של פרופ' זאו, ניתן לשכלל את המערכת שביצעה את הפרצה ולבצע מעקב בזמן אמת אחרי מיליוני משתמשים בו זמנית באמצעות מספר קטן של שרתים. “לו רציתי, יכולתי לנטר את כל ארה"ב בזמן אמת יש לי בין 50 ל-100 שרתים, ובאמצעות רכישת שירותי ענן מאמזון אני יכול לנטר את כל הנהגים".

מ-Waze נמסר בתגובה: “Waze משפרת בקביעות את המנגנונים והכלים שמונעים ניצול ושימוש לרעה. קבוצת החוקרים יצרה אתנו קשר ב-2014, וכבר טיפלנו בחלק מטענותיהם והטמענו מנגנוני אבטחה במערכת שלנו על מנת להגן על פרטיות המשתמשים".

בין השינויים שהטמיעה Waze בעקבות פניית החוקרים נכללת הפסקת שידור מיקומו של המשתמש כאשר האפליקציה פועלת ברקע. ואולם, לפי הדיווח גם עתה אין מניעה לנטר את מיקומו של נהג שעושה שימוש פעיל באפליקציה.

לכתבה

Advertisements
Post a comment or leave a trackback: Trackback URL.

כתיבת תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s

%d בלוגרים אהבו את זה: