Autoevolution.com raportează că defectul a fost descoperit de inginerul de securitate Peter Gasper. Când a utilizat interfața web a aplicației, acesta a descoperit că poate solicita API-ului Waze să afișeze nu numai coordonatele sale, ci și pe cele ale altor șoferi care călătoresc în apropiere.
Datele returnate de API au arătat numere de identificare unice pentru pictogramele de pe hartă care reprezentau alți șoferi. Aceste numere de identificare nu s-au schimbat în timp, făcând posibil ca oricine a exploatat defectul să urmărească un anumit utilizator al aplicației pe parcursul întregii călătorii.
„Am decis să urmăresc un șofer și după ceva timp ea a apărut într-un loc diferit pe același drum”, a explicat Gasper. „Am generat un editor de cod și am construit extensia Chromium folosind componenta chrome.devtools pentru a capta răspunsurile JSON din API. Am reușit să vizualizez modul în care utilizatorii călătoreau pe scară largă între districtele orașului sau chiar orașele în sine.”
Investigațiile ulterioare efectuate de Gasper au arătat că o persoană rău intenționată ar putea accesa numele reale ale utilizatorilor care au interacționat cu aplicația.
„Am aflat că în cazul în care un utilizator recunoaște orice obstacol rutier sau a raportat patrulă de poliție, ID-ul de utilizator împreună cu numele de utilizator sunt returnate de către API-ul Waze oricărui Wazer care conduce prin acest loc”, a spus Gasper. „De obicei, aplicația nu afișează aceste date decât dacă există un comentariu explicit creat de utilizator, dar răspunsul API conține numele de utilizator, ID-ul, locația unui eveniment și chiar un moment în care a fost recunoscut.”
În luna decembrie a anului trecut, Gasper a raportat vulnerabilitatea companiei deținute de Google, Waze, câștigând o recompensă de 1.337 USD pentru descoperirea sa. De atunci, defectul a fost reparat.
„În orice organizație, vulnerabilitățile bazate pe API sunt extinse, creând oportunități ușoare de exploatare pentru cei rău intenționați. De aceea, este atât de important pentru organizații să aibă vizibilitate în timpul rulării în toate API-urile”, a comentat Jason Kent, Cequence Security. „Companiile trebuie, în orice moment, să poată răspunde la întrebări simple precum: câte API-uri avem și cine le deține; au fost activate nivelurile adecvate de autentificare și controale de acces; și ce tip de date transmit API-urile dvs.?”.
Sursa: Infosecurity Magazine
