Bystrého vývojára spoločnosť Google odmenila a chybu v systéme Google opravil.
Na vážnu chybu prišiel šikovný Slovák
Chybu v navigácii Waze objavil Slovák Peter Gasper. Vďaka tejto chybe bolo možné monitorovať a do istej miery aj identifikovať konkrétnych užívateľov tejto aplikácie. Google opravil túto nájdenú chybu a Peter Gasper dostal aj odmenu.
Chyba v aplikácii bola v API vo webovej verzii. V tejto verzii je možné, aby si ktokoľvek pozrel informácie z navigácie, ako napríklad: nahlásené prekážky a komplikácie v doprave. Ikonky zobrazujúce sa na mape patria momentálne cestujúcim, ktorí využívajú túto aplikáciu, ale podrobnejšie dáta o nich web neukazuje.
Používatelia tejto aplikácie majú identifikátor
Peter Gasper zistil, ako je na webe spravené zobrazovanie ikon šoférov. Prišiel na záver, že GPS lokalita bola spárovaná s unikátnym identifikátorom daného šoféra, ktorá sa nemenila.
Identifikátor nebol v priebehu času menený a aj keď na webe nebol zviditeľnený, tak šikovný Peter Gasper cez API navigácie tento identifikátor získal.
Šikovný slovenský programátor na svojom blogu ukázal, ako sa vďaka týmto identifikátorom, ktoré sa nemenia dá sledovať poloha používateľov aplikácie Waze. Aplikácia generuje identifikátory a kybernetický útočník by nemal mať spôsob, ako spárovať identifikátor s reálnou identitou osoby.
Identifikovať osobu môžeme na základe dát o polohe. Touto problematikou sa zaoberali aj vedecké štúdie. Gasper sa opiera o jednu, kde prehlasuje, že na identifikovanie totožnosti 95% ľudí stačia len 4 špecifické body záujmu na mape. Odborníci tvrdia, že pohyb každej osoby je špecifický a odlišný minimálne v detailoch od iných osôb.
Peter Gasper objavil aj ďalšiu chybu
Hackeri mohli mať k dispozícii aj druhú chybu, ktorú táto aplikácia mala. Slovák ju počas pátrania zistil.
Ak nahlásite dopravný problém alebo prekážku, tak mobilná aplikácia zobrazí vašu prezývku iba v prípade, že necháte komentár. Cez API bolo možné zistiť prezývky všetkých používateľov a dokonca aj tých, ktorí nezanechali komentár. Prezývky boli prístupné spolu s identifikátorom.
Aplikácia odosielala identifikátor a prezývku do aplikácie každého jedného šoféra, ktorý prešiel okolo prekážky alebo nehody. Pomocou API sa ale dá po mape premiestňovať virtuálne a nie je potrebné meniť svoju fyzickú polohu. Internet dáva priestor pre dohľadanie prezývok.
Stotožniť osobu je možné pomocou e-mailových adries či iných účtov a identifikovať s reálnymi osobami je možné s trochou snahy. Používatelia majú častokrát rovnakú prezývku vo viacerých účtoch. Ľudia taktiež častokrát používajú svoje skutočné meno, na čo prišiel slovák Peter Gasper.
Zbieranie dát
Potenciálni hackeri by sledovali dopravné uzly a frekventované cesty, aby mohli spárovať identifikátor a prezývky používateľov tejto služby. Stačilo by im viac počítačov a rôzne IP adresy, aby Waze nespozoroval podozrivú aktivitu.
Peter Gasper ukázal, že je možné informácie zhromažďovať automatizovanými skriptami. V databáze záznamov by sa vyskytovali aj reálne mená používateľov tejto aplikácie. Vytvorenie skriptov trvalo približne len štyri hodiny.
Príprava na útok by zabrala len niekoľko dní. Identifikovať osoby by bolo možné v priebehu pár týždňov. Podľa slovenského výskumníka mohli byť tieto chyby v systéme niekoľko rokov. Za oznámenie tejto chyby dostal Peter Gasper od Googlu okolo 1 110 eur.