המשתמש לידכם אמיתי, או דמה? מפת וויז באזור תל אביב// צילום מסך // המשתמש לידכם אמיתי, או דמה? מפת וויז באזור תל אביב// צילום מסך

משתמשים ב-Waze? יתכן שעוקבים אחריכם

חוקרים הצליחו להציף את השרתים באלפי "נהגי רפאים" המאפשרים להם לעקוב אחר משתמשים וליצור עומסי תנועה מזוייפים

מערכת ישראל היום
, עודכן
0

אם גם אתם משתמשים ב-Waze (כמו כולנו) יתכן שהאקרים עוקבים אחריכם. מחקר חדש קובע כי כל משתמשי Waze מעמידים עצמם בסיכון שהאקרים יוכלו לעקוב אחר תנועותיהם. את המחקר ערכו חוקרים מאוניברסיטת סנטה ברברה בקליפורניה, ובמהלכו הם גילו שפרצת אבטחה באפליקציה מאפשרת להם ליצור אלפי "נהגי רפאים" המאפשרים להם לעקוב אחר המשתמשים האחרים באפליקציה שנמצאים בסמוך להם.

עורך המחקר, מומחה המחשבים הפרופ' בן ז'או, אמר כי מדובר "בבעיית אבטחה חמורה".

שרתי Waze מתקשרים עם הטלפונים החכמים שלנו באמצעות חיבור SSL מוצפן, בעזרתו השרתים מוודאים שהם "מדברים" עם אפליקציה המותקנת על סמארטפון של משתמש אמיתי. ז'או והסטודנטים שלו גילו כי הם יכולים ליירט את התקשורת הזו על ידי הצבת המחשבים שלהם כמתווכים בין השרתים של החברה לבין האפליקציות המותקנות בטלפונים של המשתמשים.

מרגע שהחוקרים, או ההאקרים לצורך העניין, הצליחו להציב עצמם בתווך התקשורת בין השרתים לבין הטלפונים החכמים, הם הצליחו להנדס מחדש את הפרוטוקול של Waze ולכתוב קוד תוכנה ולשלוח פקודות ישירות לשרתים של האפליקציה, פקודות המאפשרות להם להציף את השרתים באלפי "נהגי רפאים".

 

כמו הפריצה של הסטודנטיות מהטכניון, רק בגדול

באמצעות "נהגי הרפאים", ההאקרים יכולים ליצור עומסי תנועה מדומים. מכיוון ש-Waze היא אפליקציה חברתית בה נהגים יכולים לשדר את המיקום שלהם, "נהגי הרפאים" יכולים לנטר את תנועת כל המשתמשים סביבם.

רוצים לקבל עוד עדכונים? הצטרפו לישראל היום בפייסבוק

הפריצה דומה לזו שבוצעה לפני כשנתיים על ידי שיר ידיד ומיטל בן סיני, בעת שהיו סטודנטיות בטכניון, שהצליחו להכניס משתמשים מזויפים כדי ליצור עומסי תנועה מדומים. בעוד שהטכניקה של ידיד ובן סיני, שהשתמשו בטלפונים חכמים, אפשרה להכניס לתוך השרתים מספר מצומצם של "נהגי רפאים", הסטודנטים מאוניברסיטת סנטה ברברה הצליחו להחדיר אלפים כאלה, המפוזרים על פני תא שטח גדול, באמצעות שימוש במחשבים אישיים במקום בטלפונים חכמים.

במהלך המחקר ביצעו ז'או והסטודנטים שלו מעקב אחר חבר מהצוות שלהם, בהסכמתו כמובן. "הוא נסע בין 30 ל-50 קילומטרים ואנחנו עקבנו אחר המיקום שלו במשך רוב הזמן", אמר ז'או ופירט גם את המקומות בהם עצר הנסיין.

 

מידע תמורת ניווט

מ-Waze נמסר בתגובה לפיוז'ן, המגזין האמריקני שפרסם את המחקר, כי "Waze מתמידה בשיפור הכלים למניעת ניצול לרעה. Waze נמצאת בקשר מתמיד עם קהילת חוקרי הבטיחות והפרטיות. אנו מודים להם על הסיוע בהגנת המשתמשים שלנו. הקבוצה הזו פנתה אלינו בשנת 2014, וכבר טיפלנו בכמה מטענותיהם והגברנו את האבטחה על המערכת כדי להגן על הפרטיות של המשתמשים שלנו".

דובר החברה הוסיף כי "התפיסה של Waze היא שכולנו עובדים יחד כדי לחלוק מידע ולהשפיע על העולם הסובב אותנו ושמשתמשים מצפים להציף מידע מסוים הנוגע למסלול שלהם, זאת בתמורה לסיוע בניווט".

 

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
Wazeהאקריםווייזחדשות ישראל היוםפקקיםפריצה