Waze uygulamasında, diğer kullanıcıların konumlarının gerçek zamanlı olarak izlenmesine izin verebilecek ciddi bir güvenlik açığı keşfedildi. Hata, milyonlarca kullanıcının gizliliğini riske attı.

Waze Uygulamasında Güvenlik Açığı

Güvenlik araştırmacısı Peter Gasper, Waze uygulamasında diğer kullanıcıların gizliliğini riske atan bir güvenlik açığı keşfetti.

Blog gönderisinde detaylandırıldığı gibi , kusur temelde Waze API’de mevcuttu ve bu, herkesin diğer kullanıcıların konumlarını gerçek zamanlı olarak takip etmesine izin verdi.

Bilmeyenler için Waze, Google’ın sahip olduğu bir çevrimiçi gezinme aracıdır. Gerçek zamanlı olarak yol tarifleri, trafik uyarıları ve haritalar vermek için GPS üzerinde çalışır.

Kullanıcılar çevrimiçi durumdayken uygulamadaki diğer sürücü simgelerini görebilir. Sorun burada vardı. Araştırmacı, diğer sürücülerin koordinatlarını kimlik numaralarıyla (ID) kolayca talep edebileceğini belirtti. Böylelikle onları gerçek zamanlı olarak izlemek mümkün hale geldi. Sonunda kimliklerin orijinal kullanıcılara kadar izlenmesine izin verdi.

Kullanıcının herhangi bir yol engeli olduğunu kabul etmesi veya polis devriyesini bildirmesi durumunda, kullanıcı adı ile birlikte kullanıcı kimliğinin Waze API tarafından o yerden geçen herhangi bir Wazer’a iade edildiğini öğrendim. Uygulama, kullanıcı tarafından oluşturulan açık bir yorum olmadıkça genellikle bu verileri göstermez. Ancak API yanıtı, bir olayın kullanıcı adını, kimliğini, konumunu ve hatta onaylandığı zamanı içerir.

Çoğu kullanıcı, kullanıcı adı olarak gerçek adlarına sahip olduğundan, bir rakibin kullanıcılar, adları ve kimliklerinden oluşan bir veritabanı oluşturması mümkün hale geldi.

Google Hatayı Düzeltdi

Araştırmacı, Aralık 2019’da geri sızan veri eksikliğini keşfettikten sonra, bunu Güvenlik Açığı Ödül Programı aracılığıyla Google’a bildirdi .

Sonuç olarak Google, araştırmacıya 1337 dolarlık bir ödül verirken hatayı düzeltti.

Son zamanlarda bir araştırmacı, Google’ın bunun için 10.000 dolarlık ödül verdiği Google Haritalar’daki güvenlik açıklarının bulgularını da paylaştı .

Kaynakça

https://latesthackingnews.com/2020/10/25/waze-app-vulnerability-could-allow-tracking-users-location/