פרצת אבטחה חמורה בווייז: ניתן לעקוב אחר נהגים
חוקרים מאוניברסיטת קליפורניה גילו פרצת אבטחה חמורה בתוכנת הניווט המאפשרת ליצור עומסים מדומים והתרעות שווא וכמו כן לזהות מיקומים של משתמשים רשומים
נוסעים ברכב ו-waze מכוונת אתכם ליעד - כנראה שלא רק אתם יודעים מה המסלול שלכם: תוכנת הניווט הפופלארית לא חסינה מסתבר, כך לפי אתר Fusion. האתר מדווח על פרצת אבטחה מסוכנת, שאותה גילו חוקרים מאוניברסיטת קליפורניה. הפירצה מאפשרת, מלבד דיווחי שווא על פקקים ואירועים בדרכים, אף לעקוב אחר תנועותיהם של משתמשים רשומים ספציפיים ולהוסיף אלפי משתמשים פיקטיביים שיוכלו ליצור אירועים מדומים.
החוקרים הצליחו להדגים כיצד התקלה מתרחשת ובמשך כמה ימים עקבו אחר התנועות של כתבת Fusion ודיווחו לה בעצם היכן היא נמצאת, כך הסביר פרופסור בן זאו מהצוות שאיתר את הפירצה. "זו בעיית פרטיות חמורה מאוד" הוסיף פרופסור בן זאו. "משתמשים יכולים להיות תחת מעקב ברגעים אלו ממש והם אפילו לא ידעו זאת".
השרתים של ווייז מתקשרים עם מכשירי הסמארטפון של המשתמשים השונים באמצעות תקשורת מאובטחת בפרוטוקול SSL שאמור להבטיח שהתקשורת היא אכן עם משתמש ווייז אבל הצוות של בן זאו הצליח להציב את המחשב שלהם למעשה בדרך בין מחשבי השרת לסמארטפונים וכך הם יכלו ללמוד את פרוטוקול האבטחה ולתכנת אותו מחדש וכך בעצם יכלו לכתוב פקודות חדשות שיגיעו ישירות לשרתים של ווייז וליצור לצורך הדוגמה אלפי "משתמשי רפאים" כפי שהגדיור אותם בן זאו וכך ליצור אירועי דרכים מזוייפים כגון תאונות, פקקים ואפילו נוכחות משטרתית.
"ההתקפה" שיזמו צוות החוקרים מזכירה מאוד מתקפה דומה שערך צוות של סטודנטים ישראלים מהטכניון, שיר ידיד ומיטל בן סיני שהצליחו במרץ 2014 גם כן לפרוץ את האבטחה סביב שרתי החברה וגם הם יצרו פקקים מדומים.
דוברת ווייז בארצות-הברית מסרה בתגובה לאתר: "אנחנו משפרים כל הזמן את המנגנונים כדי למנוע שימוש או ניצול לרעה. Waze נמצאת בקשר קבוע עם חברות אבטחה פרטיות ואנחנו מודים להן על הסיוע. ישנם אמצעי הגנה במערכת שלנו על-מנת להגן על המשתמשים".
