Waze se ha convertido en una de las plataformas más utilizadas por los conductores de todo el mundo, aunque es un hecho ampliamente conocido que los desarrolladores requieren mejorar múltiples aspectos de la app, principalmente en lo relativo a la seguridad.
Peter Gasper, especialista en ciberseguridad, reportó el hallazgo de una vulnerabilidad en Waze que le permitió rastrear la ubicación en tiempo real de un conductor aleatorio, así como identificar las paradas que el usuario objetivo realizó. Gasper asegura que esto se debe a la forma en que la app está construida.
Al usar Waze, la aplicación muestra los íconos de otros usuarios en ubicaciones cercanas, lo que permitió al investigador usar la interfaz web de la app para solicitar la API de Waze y encontrar las coordenadas de su propia ubicación y la de otros usuarios. Al analizar los datos devueltos por la API, Gasper descubrió que las identificaciones asociadas a los íconos de usuario se actualizaron con esta maniobra.
“La ubicación de los conductores realmente se actualiza; creé un editor de código y construí una extensión Chromium usando el componente chrome.devtools para caputrar respuestas JSON de la API. Esto expone por completo la ubicación de los usuarios”, menciona Gasper.
Esto ya es suficientemente malo, aunque lo peor está por venir. Análisis posteriores le permitieron al investigador identificar la identidad de los usuarios mediante la función de reporte de eventos en Waze: “Si un usuario reporta un atasco en la carretera, la API devuelve la identificación del usuario junto con su nombre a cualquier otra implementación de Waze cercana; aunque el usuario puede optar por mostrar o no sus datos, la API contiene toda su información”, alade Gasper.
Los actores de amenazas podrían identificar a cualquier usuario abusando de estas funciones, determinando su identidad y su ubicación casi exacta. La falla fue reportada a Google, compañía propietaria de Waze, que se apresuró a lanzar una corrección. Por su hallazgo, Gasper recibió un pago como parte del programa de recompensas de la compañía.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
