Des millions de conducteurs utilisent Waze, une application de navigation appartenant à Google, pour trouver le meilleur itinéraire, le plus rapide d'un point A vers un point B.
Et selon une nouvelle étude, toutes ces personnes courent le risque d'avoir leurs mouvements suivis par les pirates.
Des chercheurs de l'Université de Californie de Santa Barbara ont récemment découvert une vulnérabilité dans Waze qui permet de créer des milliers de "conducteurs fantômes" qui peuvent surveiller les conducteurs autour d'eux-en temps réel.
«C'est un grand problème de confidentialité", a déclaré Ben Zhao, professeur de science informatique à l'UC-Santa Barbara, qui a dirigé l'équipe de recherche.
Voici comment cela fonctionne. les serveurs de Waze communiquent avec les téléphones utilisant une connexion SSL cryptée, une mesure de sécurité destinée à assurer que les ordinateurs de Waze communiquent vraiment à une application Waze sur le smartphone de quelqu'un. Zhao et ses étudiants diplômés ont découvert qu'ils pouvaient intercepter cette communication pour faire de leur propre ordinateur un intermédiaire dans la connexion. Une fois entre le téléphone et les serveurs Waze, ils pourraient jouer avec le protocole Waze.
L'équipe a été en mesure d'écrire un programme qui a envoyé des commandes directement aux serveurs Waze, permettant aux chercheurs de remplir le système Waze avec des milliers de «voitures fantômes» qui pourraient causer un faux embouteillage.
L'attaque est similaire à celle menée par les étudiants universitaires israéliens il y a deux ans, qui ont utilisé des émulateurs pour envoyer les robots collecteurs de trafic en Waze et créer l'apparence d'un embouteillage. Mais un émulateur, qui prétend être un téléphone, ne peut créer l'apparence de quelques véhicules dans le système Waze.
L'équipe UC-Santa Barbara ont exécuté des scripts sur un ordinateur portable qui a créé des milliers de véhicules virtuels dans le système Waze.
Le groupe de Zhao a également réussi un test de pirater un utilisateur Waze qui n'était autre qu'un membre de l'équipe de recherche avec son accord. "Il a conduit 20 à 30 miles et nous avons été en mesure de suivre son emplacement presque tout le temps. Il s'est arrêté dans une station d'essence et et dans un hôtel."
"Waze améliore constamment ses mécanismes et outils pour prévenir les abus et la mauvaise utilisation. À cette fin, Waze est régulièrement en contact avec la recherche sur la sécurité et la vie privée de la communauté pour protéger nos utilisateurs », a déclaré un porte-parole de Waze dans un communiqué .
Le porte-parole a déclaré que «le concept de Waze est que nous travaillons tous ensemble pour partager des informations et un impact sur le monde qui nous entoure» et que «les utilisateurs attendent d'offrir certaines informations sur leur chemin en échange d'aide à la navigation sans précédent." Parmi les garanties déployés par Waze un «système de cloaking» de sorte que l'emplacement d'un utilisateur comme affiché "de temps en temps dans l'application Waze ne représente pas réelle, localisation en temps réel d'un tel utilisateur."
Mais ces garanties n'ont pas empêché le suivi en temps réel réalisé par l'équipe de Santa Barbara ce qui indique que ce système de cloaking ne semble pas fonctionner très bien.
Théoriquement, un pirate pourrait utiliser cette technique pour entrer dans le système Waze et télécharger l'activité de tous les conducteurs.
Comme les chercheurs israéliens, l'équipe de Zhao a également été en mesure de créer facilement de faux embouteillages. Ils se méfiaient d'interférer avec les utilisateurs réels de Waze donc ils ont effectué leurs expériences de 2 h à 5 h tous les soirs pendant deux semaines, créant l'apparence d'un trafic dense et un accident sur une route.
Le porte-parole de Waze a déclaré que la société "examine la nouvelle question soulevée par les chercheurs et continuera de prendre les mesures nécessaires pour protéger la vie privée de nos utilisateurs."
En attendant, si vous avez besoin d'utiliser Waze pour se déplacer ,mais se méfient d'être suivis, vous avez une option de choisir le mode invisible. Mais attention, Waze désactive le mode invisible chaque fois que vous redémarrez l'application.
Aucun commentaire:
Enregistrer un commentaire