Waze es de esas aplicaciones que la mayoría de nosotros llevamos en nuestro teléfono. Si no la tenemos nosotros, alguna persona de nuestro entorno muy probablemente la tenga. Esto lo convierte en una aplicación muy extendida y, dado los datos que usa, muy peligrosa.

Pues bien, si eres usuario de la misma, deberías saber que Peter Gasper, un ingeniero de seguridad de TI, informó hace unos meses de una vulnerabilidad permite a los atacantes identificar a los conductores cercanos en la aplicación Waze y rastrear su ubicación en la vida real.

La vulnerabilidad existía en la API de Waze, que funcionaba de tal manera que una vez que se usaba la aplicación en un navegador web ( Livemap Waze ), el investigador podía solicitar las coordenadas de los controladores cercanos junto con los suyos propios. Este fallo no solo exponía la privacidad en tiempo real de los usuarios, sino que también ponía en riesgo su seguridad física.

Según el investigador, estas coordenadas, además de los detalles del tráfico, también contenían números de identidad únicos (UID) de cada conductor que no se veían modificados con el tiempo. 

La vulnerabilidad de la aplicación Waze permitió a los usuarios rastrear la ubicación en tiempo real

“Decidí rastrear a un usuario y después de un tiempo ella apareció en un lugar diferente en la misma carretera”, explicó Gasper. “Creé un editor de código y construí la extensión en Chromium aprovechando el componente chrome.devtools para capturar respuestas JSON de la API. Pude visualizar cómo los usuarios viajaban ampliamente entre los distritos de la ciudad o incluso las propias ciudades «.

Peter Gasper

Además, encontró un método para vincular las ID a los nombres de usuario. Si los usuarios de la aplicación Waze informaban de un obstáculo en la aplicación, por ejemplo, la API enviaba tanto el ID como el nombre de usuario a todos los usuarios de Waze en el área. Los usuarios sólo ven esa información cuando la persona que informa agrega una respuesta, pero incluso si esta no lo hace, los detalles se enviaban a través de la API.

Por si fuera poco, Gasper señaló que un atacante podría monitorizar varias ubicaciones donde se habían reportado problemas para identificar las ID y los nombres de usuario de los usuarios de Waze que confirman la obstrucción. De esta manera, era posible crear una base de datos de Waze ID y los nombres de usuario asociados, teniendo en cuenta que muchas personas usan sus nombres reales… Ya conocéis el peligro.

¿La buena noticia? Esta vulnerabilidad ya está solucionada por parte de Google y el investigador recibió 1.337 dólares gracias al programa de recompensas de Waze.

¿La mala noticia? Esta no es la primera vez que una vulnerabilidad en la aplicación Waze arriesga la seguridad y privacidad de sus usuarios. En 2016 , una vulnerabilidad crítica en la aplicación también permitía a los a los atacantes espiar a los usuarios de la misma.

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

AUTOR