PELIGRO AL VOLANTE

¡Alerta Waze! pueden ver todos tus movimientos

Guatemala - 2016/04/28 - Un estudio demuestra una vulnerabilidad en Waze que permite crear miles de “conductores fantasmas”, capaces de rastrear los movimientos de todos los conductores reales a su alrededor.

¡Alerta Waze! pueden seguir tus movimientos

¡Alerta Waze! pueden seguir tus movimientos

 

Un grupo de investigadores de la Universidad de Santa Barbara, California, descubrió una grave vulnerabilidad en Waze que podría dejar al descubierto los desplazamientos de millones de conductores, ya que como existe gente que avisa de buena fe de un accidente, de obras en la carretera o de la presencia de una patrulla de la policía, también hay quienes podrían abusar del sistema y utilizarlo para espiar los movimientos de todos sus usuarios.

¿Dónde está el problema?

La raíz de esta peligrosa vulnerabilidad está en las comunicaciones entre los servidores de Waze y la app que tenemos en nuestro dispositivo. Dichos servidores usan una conexión cifrada SSL como medida de seguridad para asegurar que realmente están en conexión con la app instalada en el móvil de un usuario. Lo que el equipo de investigación descubrió es que podían hacer que el celular aceptara su propio ordenador como un puente de conexión entre la app y el servidor de Waze.

Una vez establecido un ordenador propio entre el teléfono y el servidor, los investigadores lograron descifrar el protocolo de Waze y descubrir así el lenguaje utilizado entre la app y los servidores. A partir de ese momento, podían hacer simplemente lo que quisieran, enviando los comandos adecuados al servidor de Waze y éste los aceptaría sin problemas, pensando que venían de la app.

En sus pruebas, los investigadores consiguieron crear miles de conductores fantasma, creando con ellos atascos “virtuales” que no existían en realidad, pero que obligarían a los conductores “reales” a tomar una ruta alternativa, dirigidos por su app de Waze. Además, como los usuarios de Waze comparten su ubicación por defecto, estos conductores fantasma podían hacer seguimiento de todos los movimientos de los conductores reales que circulaban cerca de ellos.

De hecho, aplicando la vulnerabilidad a uno de los miembros del equipo, fueron capaces de espiar sus movimientos con todo detalle durante un recorrido de entre 30 y 50 kilómetros. “Pudimos ver dónde estaba casi en todo momento” comenta Ben Zhao, director del equipo de investigación. “Paró en algunas gasolineras y en un hotel”.

 

¡Alerta Waze! pueden seguir tus movimientos
Seguimiento realizado mediante la vulnerabilidad de Waze.

 

[gtmadsense id=”4169773646″]

Un grave ataque a la privacidad

Este mismo equipo de investigación de la Universidad de Santa Barbara ya informó a Google del problema el año pasado, y publicaron una primera versión de su investigación. Entonces la vulnerabilidad era todavía peor, puesto que permitía hacer seguimiento de los movimientos de alguien incluso con Waze en ejecución en segundo plano.

Una actualización de la app en enero aplicó un parche que evitaba que ésta compartiera tu ubicación públicamente cuando la app está en segundo plano, un cambio que Waze describió como “una función para ahorrar batería”. Sin embargo, si la app está en funcionamiento en primer plano, la vulnerabilidad sigue todavía ahí.

De hecho, según los investigadores, este problema de privacidad online podría escalarse fácilmente, e incluso afectar a otras apps. “Podrías hacer seguimiento de millones de conductores con sólo un puñado de servidores, o contratando más en plataformas como Amazon Web Services”, comenta Zhao. En sus palabras, este tipo de ataque se podría extender también a otras aplicaciones, donde una vulnerabilidad así permitiría descargar cualquier tipo de dato que los usuarios compartan unos con otros (como la ubicación, en el caso de Waze) o tirar abajo el servicio con tráfico creado artificialmente.

La respuesta de Waze

Waze, por su parte, afirma estar mejorando continuamente sus herramientas y mecanismos para prevenir el abuso o mal uso del sistema, para lo cual cuenta con el asesoramiento de investigadores especializados en seguridad y privacidad de todo el mundo. “Este grupo se puso en contacto con nosotros en 2014 y desde entonces hemos atendido algunos de sus avisos, implementando mejoras en nuestro sistema para proteger la privacidad de nuestros usuarios”, comentaba un representante de la app.

 

¡Alerta Waze! pueden seguir tus movimientos

 

Sin embargo, parece que esas mejoras están todavía lejos de solucionar el problema, tal y como pudo comprobar el equipo de Zhao, y más tarde, una periodista que se sometió voluntariamente al control de sus movimientos en Waze. Lo peor, además, es que, en palabras de los investigadores, “el seguimiento es realmente difícil de detectar, y tampoco tenemos claro cómo poner fin a esto”.

Mientras los ingenieros de Waze (y los de Google, propietaria de la app) buscan una solución, hay un pequeño truco para que puedas seguir usando Waze con la misma tranquilidad de siempre: ve a tu perfil en la app, tocando en tu nombre de usuario, y activa el modo invisible. Eso sí, el ajuste no se guarda entre sesiones, así que tendrás que hacerlo cada vez que uses Waze.

Con información de genbeta.

Deja tu comentario!

Mobile Sliding Menu