פרצת אבטחה חמורה באפליקציית הניווט הפופולרית WAZE מאפשרת להאקרים ליצור אלפי חשבונות מדומים, ולהציג תמונה שגוייה על מצב התנועה - ואף לעקוב אחר משתמשים באופן פרטני ומקיף, כך עולה ממחקר באוניברסיטת קליפורניה. (http://fusion.net/story/293157/waze-hack/)
החוקרים יצרו באמצעות המחדל במערכת חשבונות משתמש פיקטיביים, שמסוגלים לעקוב אחרי הניווט של המשתמשים האחרים שנוהגים בסביבתם בזמן אמת, בדומה לניסוי שנערך לפני כשנתיים על ידי סטודנטים ישראליים, שהשתמשו באמולטורים שנועדו לייצר מראית עין של פקקים באפליקציית הניווט.
אך בעוד אמולטורים אלו הצליחו "לייצר" מעט משתמשים על הכביש, החוקרים מסנטה ברברה עמלו על קוד שביכולתו ליצור אלפי כלי רכב מזוייפים, עמם יכולים האקרים לייצר תמונת מצב תנועתית שונה מאוד מזו שבמציאות, ולייצר מצבים מסכני חיים, כמו גם לאסוף נתונים על תנועתם של משתמשים ספציפיים בסביבתם.
החוקרים הוכיחו, החברה לא התרגשה
החוקרים אף הוכיחו לכתב מאתר Fusion את טענותיהם, על ידי עריכת מעקב מדוקדק אחר תנועותיו באיזור סן פרנסיסקו ולוס אנג'לס, במשך שלושה ימים רצופים. חוקרי האבטחה הצליחו לעקוב אחריו רק בזמן שהיה ברכב נוסע עם WAZE פעיל על גבי הסמארטפון (לא במצב פעילות רקע). "זוהי פרצת אבטחה אדירה", מסר בן זהאו, פרופ' במחלקה למדעי המחשב באוניברסיטה, בה נערך הניסוי.
השרתים של WAZE מתקשרים עם הסמארטפונים של המשתמשים באמצעות חיבור SSL, חיבור אנונימי שמאפשר את הגדרות המסלולים המבוקשים, תוך שימוש באמצעי אבטחת מידע שאמורים לספק חיסיון ופרטיות. למרות אמצעים אלו, החוקרים הצליחו "להשתחל" לתהליך ולתווך בין החשבון האישי של הנהג לבין השרת של ווייז, באופן שאפשר להם לפרוץ לחשבון הפרטי, לעקוב אחרי הנסיעות שלו ואף להעביר פקודות ניווט לאפליקציה שלו ללא ידיעת המשתמש.
צוות המחקר יידע את גוגל, שרכשה את WAZE בעסקת ענק מתוקשרת בעבור 1.1 מיליארד ש"ח ב-2013, אודות המחדל, המחקר ותוצאותיו, לפני למעלה משנה, ובינואר האחרון שוחרר עדכון המונע אפשרות האזנה לאפליקציה כשהיא פעילה ברקע בלבד, אותו תיארו מפתחי האפליקציה כפיצ'ר חוסך אנרגיה, מבלי להזכיר את סוגיית הפרטיות והאבטחה הכושלת.
מ-WAZE נמסר כי "החברה בוחנת את הסוגייה החדשה שמעלים החוקרים ונמשיך לנקוט בצעדים הנדרשים כיד להגן על פרטיות המשתמשים שלנו... WAZE משפרת כל הזמן את המנגנונים והכלים שלה כדי למנוע ניצול לרעה. למטרה זו, WAZE נמצאת בקשר באופן קבוע עם קהילת האבטחה וחקר הפרטיות - אנו מעריכים את עזרתם להגנה על המשתמשים שלנו."
"קבוצה זו של חוקרים יצרה איתנו קשר ב-2014, וכבר טיפלנו בכמה מהטענות שלהם... הרעיון מאחורי WAZE הוא שכולנו עובדים יחד לחלוק מידע ולהשפיע על העולם סביבנו, משתמשים יודעים שעליהם לספק מידע מסויים לגבי המסלול שלהם בתמורה לסיוע בניווט שאין לו מתחרים".