L’application Waze de Google permettait d’identifier et de traquer les utilisateurs

Un chercheur en sécurité a découvert une vulnérabilité dans l’application Waze de Google qui peut permettre aux pirates d’identifier des utilisateurs à l’aide de l’application de navigation populaire et de suivre leurs déplacements.

Peter Gasper, ingénieur en sécurité chez DevOps, a découvert une faille API dans le logiciel de navigation qui lui permettait de suivre en temps réel les mouvements spécifiques des conducteurs à proximité et même d’identifier exactement qui ils étaient, a-t-il révélé dans un article de blog sur son site de recherche, «malgregator».

Waze utilise les informations qui visent à avertir les conducteurs des obstacles qui peuvent les empêcher de se déplacer facilement, tels que les embouteillages, les chantiers, les accidents, etc., puis suggère des itinéraires alternatifs et plus rapides pour contourner ces obstacles. Les applications affichent également l’emplacement des autres conducteurs à proximité ainsi que leurs emplacements GPS.

google play

Gasper a signalé la dernière faille de Waze à Google en Décembre dernier et a reçu une prime de 1337$ venant du programme de prime aux bogues de Google en Janvier 2020, révélant publiquement la faille au mois d’Août. La société a déclaré qu’elle avait déjà corrigé la faille.

Gasper a déclaré que ses recherches avaient commencé assez innocemment lorsqu’il s’est rendu compte qu’il pouvait visiter Waze à partir de n’importe quel navigateur Web à l’adresse waze.com/livemap et a décidé de voir comment l’application implémentait les icônes des autres conducteurs à proximité. Il a découvert que non seulement Waze lui envoie les coordonnées des autres conducteurs à proximité, mais aussi que «les numéros d’identification (ID) associés aux icônes ne changeaient pas au fil du temps», a observé Gasper dans son explication.

En créant un éditeur de code et en créant une extension Chromium pour capturer les réponses JSON de l’API, le chercheur a découvert qu’il pouvait «visualiser comment les utilisateurs se déplaçaient entre les quartiers de la ville ou même les villes elles-mêmes».

waze

Inspiré par un article de recherche publié en 2013 qui affirmait que seuls quatre points spatio-temporels suffisaient pour identifier de manière unique 95% des personnes, Gasper a déclaré qu’il avait décidé d’aller plus loin pour essayer d’identifier avec spécificité les conducteurs qu’il était capable de suivre dans Waze.

Il a commencé avec son propre numéro d’identification et n’a utilisé que la carte de Waze, découvrant que dans une zone à faible densité, il pouvait suivre son numéro d’identification en surveillant sa propre position.

«Avec suffisamment de temps, un attaquant découvrirait l’identité de la victime en traquant son emplacement connu», a observé Gasper. Cependant, réalisant que cela n’allait pas à l’échelle de plusieurs utilisateurs, il a creusé plus profondément et a trouvé «une autre fuite de confidentialité» qui permettrait aux pirates d’identifier un plus large éventail de conducteurs spécifiques utilisant Waze.

«J’ai découvert que si l’utilisateur reconnaît un obstacle sur la route ou une patrouille de police signalée, son identifiant ainsi que son nom d’utilisateur sont renvoyés par l’API Waze à tout Wazer traversant l’endroit», a-t-il expliqué. « L’application n’affiche généralement pas ces données à moins qu’un commentaire explicite ait été créé par l’utilisateur, mais la réponse de l’API contient le nom d’utilisateur, l’ID, l’emplacement d’un événement et même l’heure à laquelle il a été reconnu. »

Pour tirer parti de cette vulnérabilité, un attaquant peut choisir plusieurs emplacements avec un trafic élevé et une notification de courte/longue durée existante sur l’obstacle, puis appeler périodiquement l’API et trouver des utilisateurs qui ont confirmé l’existence d’un obstacle, a-t-il déclaré.

Étant donné que de nombreux utilisateurs utilisent en fait leurs noms légitimes comme noms d’utilisateur dans l’application, un attaquant peut au fil du temps «créer un dictionnaire de noms d’utilisateur et de leurs identifiants», ainsi que «stocker tous les emplacements des icônes et les mettre en corrélation avec les utilisateurs», a déclaré Gasper.

Waze et les autres applications ‘crowd-sourced’

Des rumeurs selon lesquelles Waze et d’autres applications utilisant des informations « crowd-sourced » ne sont pas sécurisées ont déjà fait surface il y a plusieurs années avec un rapport (PDF) de chercheurs de l’Université de Santa Barbara. Ils ont découvert qu’une fois qu’un utilisateur de Waze était identifié, ils pouvaient faire écho à la position GPS de cette personne en créant un «cavalier fantôme». Cela donnerait à quelqu’un la possibilité de suivre virtuellement la victime via une attaque de l’homme du milieu, en rapportant ses positions GPS.

si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x