Waze de Google puede permitir a los piratas informáticos identificar y rastrear usuarios - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Waze de Google puede permitir a los piratas informáticos identificar y rastrear usuarios

Hola y mil gracias por leerme. Soy Eduardo Arroyo y en esta ocasión te voy a hablar sobre Waze de Google puede permitir a los piratas informáticos identificar y rastrear usuarios

Waze de Google puede permitir a los piratas informáticos identificar y rastrear usuarios

La compañía ya corrigió una falla de API que permitió a un investigador de seguridad usar la aplicación para encontrar la verdadera identidad de los conductores que la usaban.

Un investigador de seguridad ha descubierto una vulnerabilidad en la aplicación Waze de Google que puede permitir a los piratas informáticos identificar a las personas que utilizan la popular aplicación de navegación y rastrearlas según su ubicación.

Ingeniero de seguridad de DevOps Peter Gasper descubrió una falla de API en el software de navegación que le permitió rastrear movimientos específicos de conductores cercanos en tiempo real e incluso identificar exactamente quiénes son, reveló en una publicación de blog en su sitio web de investigación, «Malgregador».

Waze utiliza información de fuentes colaborativas para advertir a los conductores de los obstáculos que podrían interponerse en su camino para facilitar el viaje, como la congestión del tráfico, obras viales, accidentes y similares, y luego sugiere rutas alternativas y más rápidas para sortear estos obstáculos. La aplicación también muestra la ubicación de otros conductores en las inmediaciones y sus ubicaciones GPS.
Gasper informó el último error de Waze a Google en diciembre pasado y recibió una recompensa por error de $ 1,337 del Programa de Recompensas por Vulnerabilidad de Google en enero de 2020, revelando públicamente la falla en agosto. La empresa dijo que ya corrigió el defecto.

Gasper dijo que su investigación comenzó de manera bastante inocente cuando se dio cuenta de que podía visitar Waze desde cualquier navegador web en waze.com/livemap y decidí ver cómo la aplicación implementaba los íconos de otros controladores cercanos. Descubrió que Waze no solo le envía las coordenadas de otros conductores cercanos, sino también que los «números de identificación (ID) asociados con los íconos no cambian con el tiempo», señaló Gasper en su publicación.

Al generar el editor de código y construir una extensión de Chromium para capturar las respuestas JSON de la API, los investigadores descubrieron que podía «visualizar cómo los usuarios generalmente viajaban entre los vecindarios de la ciudad o incluso las ciudades mismas».

Inspirado por un trabajo de investigación publicado en 2013 que indica que solo cuatro puntos de espacio-tiempo son suficientes para identificar de forma única al 95% de las personas, Gasper dijo que decidió dar un paso más para intentar identificar específicamente a los pilotos que pudo identificar rastrear dentro de Waze.

Comenzó con su propia identificación y solo usó el mapa de Waze, descubriendo que en un área de baja densidad podía rastrear su propia identificación rastreando su ubicación.

«Con tiempo suficiente, un atacante descubriría la identificación de la víctima persiguiendo su ubicación conocida», señaló Gasper. Sin embargo, al darse cuenta de que esto no sería escalable para más usuarios, profundizó y encontró «otra fuga de privacidad» que permitiría a los piratas informáticos identificar una gama más amplia de controladores específicos que usan Waze.

“Descubrí que si el usuario reconoce una obstrucción en la carretera o se denuncia una patrulla policial, la API de Waze devuelve el ID de usuario junto con el nombre de usuario a cualquier Wazer que pase por el lugar”, explicó en su publicación. «La aplicación no suele mostrar estos datos a menos que haya un comentario explícito creado por el usuario, pero la respuesta de la API contiene el nombre de usuario, el ID, la ubicación de un evento e incluso la hora en que ha sido reconocido «.

Para explotar esta vulnerabilidad, un atacante podría elegir múltiples ubicaciones con alto tráfico y una notificación existente de corta / larga duración sobre el obstáculo, luego llamar periódicamente a la API y encontrar usuarios que hayan confirmado la existencia de un obstáculo, dijo.

Dado que muchos usuarios utilizan sus nombres legítimos como nombres de usuario en la aplicación, con el tiempo un atacante «puede crear un diccionario de nombres de usuario y sus ID», así como «memorizar todas las posiciones de los iconos y relacionarlos con los usuarios». Dijo Gasper.

Los rumores de que Waze y otras aplicaciones que utilizan información de fuentes colaborativas no son seguras surgieron hace unos años con un relación (PDF) por investigadores de la Universidad de Santa Bárbara. Ellos descubierto que una vez que se identificaba a un usuario de Waze, podía reproducir la ubicación GPS de esa persona creando un «piloto fantasma». Esto le daría a alguien la posibilidad de seguir virtualmente a la víctima a través de un ataque de intermediario, informando sus ubicaciones GPS.

.

Puedes compartir en una historia de tu Instagram para que tus amigos lo disfruten

??? ? ? ???

Comparte