CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Waze.jpg

Brecha no Waze deixava invasor rastrear e identificar usuários

Da Redação
19/10/2020

Uma vulnerabilidade descoberta no aplicativo de navegação Waze, do Google, permitia que hackers identificassem e rastreassem usuários. A Autoevolution.com relata que a falha foi descoberta pelo engenheiro de segurança Peter Gasper. Ao usar a interface da web do aplicativo, ele descobriu que poderia solicitar que a API do Waze exibisse não apenas suas coordenadas, mas também as de outros motoristas nas proximidades.

Os dados retornados pela API mostraram números de identificação exclusivos para os ícones no mapa que representavam outros motoristas. Esses números de ID não mudaram com o tempo, tornando possível para qualquer pessoa que explorou a falha rastrear um usuário de aplicativo específico durante toda a sua viagem.

Veja isso
Falha em rastreador GPS expõe crianças e idosos
Espionagem de 70 mil celulares do Brasil à venda na dark web

“Decidi rastrear um driver e depois de algum tempo ela realmente apareceu em um lugar diferente na mesma estrada”, explicou Gasper. “Eu gerei o editor de código e construí a extensão Chromium aproveitando o componente chrome.devtools para capturar respostas JSON da API. Consegui visualizar como os usuários viajavam amplamente entre os distritos da cidade ou até mesmo as próprias cidades.”

Uma investigação mais aprofundada pelo pesquisador revelou que um hacker poderia acessar os nomes reais dos usuários que interagiram com o aplicativo. “Descobri que se um usuário reconhece qualquer obstáculo na estrada ou patrulha policial relatada, o ID do usuário junto com o nome de usuário é retornado pela API do Waze para qualquer Wazer que esteja dirigindo pelo local”, disse Gasper ao site.

“O aplicativo geralmente não mostra esses dados, a menos que haja um comentário explícito criado pelo usuário, mas a resposta da API contém o nome de usuário, ID, local de um evento e até mesmo a hora em que foi confirmado”, acrescentou ele.

Em dezembro, Gasper relatou a vulnerabilidade à empresa e ganhou como uma recompensa US $ 1.337. A falha já foi corrigida, segundo a empresa.

Compartilhar: