Hackers são capazes de monitorar usuários do Waze (Update)

O Waze, popular aplicativo de navegação do Google, possui milhões de usuários ativos que utilizam o serviço diariamente para encontrar as melhores rotas para chegarem aos seus destinos. De acordo com um novo estudo, essas pessoas estão correndo o risco de terem suas trajetórias monitoradas por hackers.

Pesquisadores da Universidade da Califórnia em Santa Bárbara concluíram que uma vulnerabilidade permitiu a criação de vários "carros fantasmas", que podem seu usados para monitorar outros motoristas próximos em tempo real.

Em termos técnicos, a falha funciona da seguinte maneira: os servidores do Waze se comunicam com o telefone do usuário por meio de uma conexão SSL encriptada, uma precaução de segurança para garantir que os servidores do Waze estão realmente em contato com o smartphone do usuário. Ben Zhao, professor de Ciência da Computação na UC-Santa Barbara, e seus alunos de graduação descobriram que podiam interceptar essa comunicação fazendo com que o telefone aceitasse seus computadores entre a conexão com os servidores do app.

Assim que a conexão era feita entre os computadores e o Waze, eles podiam usar engenharia reversa no protocolo utilizado pelo aplicativo, aprendendo sua linguagem e a forma como ele "conversa" com seus servidores.

Com todos esses dados, os pesquisadores conseguiram criar um programa que enviava comandos direto para os servidores do Waze, permitindo a criação dos "carros fantasma" e, consequentemente, de engarrafamentos falsos.

Zhao informou o time de segurança do Google sobre o problema. Uma atualização do app foi liberada em janeiro deste ano para prevenir a transmissão de dados de localização quando o Waze estiver rodando em segundo plano. Vale a pena verificar se o seu smartphone já está rodando a última versão do aplicativo.

Na teoria, os hackers poderiam utilizar essa técnica para invadir o sistema do Waze e fazer o download da atividade de todos os motoristas que utilizam o serviço. Caso esses dados fossem publicados online, qualquer um poderia seguir os movimentos das 50 milhões de pessoas que utilizam o aplicativo.

Por enquanto, para não correr o risco de ser vigiado, a melhor opção é utilizar o app em modo invisível. Vale lembrar que a cada vez que o app for aberto, o modo invisível deve ser reativado.

Waze se posiciona

Julie Mossler, porta-voz do Waze, divulgou um posicionamento oficial sobre a matéria divulgada originalmente no portal Fusion. Confira o texto na íntegra:

"O ecossistema do Waze é baseado na confiança e no profundo respeito a nossos usuários. O tráfego em tempo real simplesmente não funciona sem a participação deles e estamos constantemente revisando e adicionando mais proteção a eles. É importante ressaltar que o nosso sistema tem sido, e continua sendo, seguro para os usuários todos os dias. As contas da repórter ou as de outros usuários não foram comprometidas e não é possível que um estranho procure, encontre e rastreie um usuário Waze no mapa em tempo real. Com o consentimento da repórter para usar seu nome de usuário Waze e os detalhes da sua localização, os pesquisadores foram capazes de deduzir seções de sua rota, após o fato. Nenhuma dessas atividades ocorreram em tempo real e em ambientes do mundo real, sem o conhecimento dos participantes.

Nas últimas 24 horas, novas implementações de segurança foram adicionadas em várias áreas do app, incluindo a prevenção da ameaça hipotética de “Ghost Riders” (motoristas fantasmas) afetarem o comportamento do sistema e realizarem um rastreamento similar."

Fonte: Fusion