Actualités

Waze : quand une API permet de retracer ou suivre les utilisateurs de l’application ! (en temps réel…)

Parce-que l’on s’inquiète ou que l’on aime, tout simplement, savoir où et avec qui un proche est, les moyens ou outils pour le savoir s’avère le plus souvent assez pernicieux alors qu’ils partent, à la base, d’un bon sentiment : Waze, l’application mobile permettant de se géolocaliser ou de programmer des trajets routiers, notamment, voit son système se retourner contre elle. Une vulnérabilité est apparue au sein d’une API un peu trop fournie en informations : ces dernières permettaient d’ex-filtrer certaines informations voire de suivre le trajet d’une personne…

 

 

Depuis le 15 Décembre 2019, Peter Gasper avait reporté cette faille assez critique. En effet, au détour des icônes implémentées dans la page de suivi en temps réel (par le biais d’un lien partagé entre l’utilisateur et la personne qui reçoit ledit lien, URL) consultable en version Web, il était possible de faire parler l’API liée à la géolocalisation. “j’ai découvert que je pouvais visiter Waze à partir de n’importe quel navigateur Web sur waze.com/livemap, alors j’ai décidé de vérifier comment ces icônes de pilote sont implémentées. Ce que j’ai trouvé, c’est que je peux demander à l’API Waze des données sur un emplacement en envoyant mes coordonnées de latitude et de longitude. Hormis les informations routières essentielles, Waze m’envoie également les coordonnées des autres conducteurs qui se trouvent à proximité. Ce qui a attiré mon attention, c’est que les numéros d’identification (ID) associés aux icônes ne changeaient pas avec le temps. J’ai décidé de suivre un pilote et après un certain temps, elle est vraiment apparue dans un endroit différent sur la même route“, explique le chercheur qui a fait une extension maison pour y parvenir, sous Chromium. Depuis des fichiers-données JSON, il était alors facile de visualiser les allers et retours de certains utilisateurs ainsi pris pour cible : latitude, longitude étaient reliés à un identifiant unique.

 

Comme chaque utilisateur conserve son identifiant (sauf en cas de suppression de compte pour en recréer un derrière) tout les évènements (notamment les signalements ou retours sur signalement) étaient consultables ; toujours depuis l’identifiant unique… Nom d’utilisateur, emplacement, ID, heure (historique) : tout était pratiquement consultable à volonté. Et, comme souligné par Peter Gasper, en général, bon nombre de personnes utilisent leur vrai nom ou prénom sous Waze ce qui rend l’exploit d’autant plus redoutable. La faille, toutefois, a été, ici, rapidement entendu et corrigé par l’éditeur : le bug a été reconnu au 19 Décembre 2019 (4 jours après) et une récompense de 1 337 dollars, dans le cadre du programme de récompense de Waze, a été attribuée le 8 Janvier 2020 (pour un paiement en fin de mois, dénote le chercheur)… A veiller !

 

 

Source : Malgregator – 25 Août 2020 – Waze : traçage et aspiration de données depuis l’application mobile.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.3.1