آسیب پذیری جدید Waze و امکان شناسایی هویت کاربران

کمیته رکن چهارم – آسیب‌پذیری جدیدی در نرم‌افزار Waze شناسایی شده است که به هکرها امکان شناسایی هویت کاربران را می دهد. بر اساس گزارش منتشر شده در وب سایت Autoevolution.com، این آسیب‌پذیری توسط یک مهندس امنیت سایبری به نام “Gasper” شناسایی شده است. وی در هنگام استفاده از رابط کاربری این برنامه (API) متوجه شده می‌تواند به آن درخواستی را ارسال کند که علاوه بر نمایش مختصات فعلی خود، مختصات سایر رانندگان نزدیک به او را هم اعلام کند.

داده‌هایی که در اختیار وی قرار گرفته اند می توانند شناسه آیکن ‌های خاصی که هر کدام از آنها یک راننده را نشان می دهد بر روی نقشه مشخص‌ کنند. لازم به ذکر است که با گذشت زمان، این شناسه‌ها تغییری نمی‌کنند. در نتیجه هر شخصی که از این آسیب ‌پذیری سوءاستفاده کند می‌تواند یک کاربر خاص را در کل مسیر حرکتش تحت تعقیب قرار دهد.

Gasper می‌گوید: «من تصمیم گرفتم یک راننده خاص را دنبال کنم. او پس از طی مسیری کوتاه، در مکانی متفاوت توقف کرد. من ویرایشگر کد را کپی کرده و یک افزونه کروم ساختم که از chrome.devtools برای دریافت پاسخ‌های JSON از این API استفاده می‌کند. در نهایت توانستم مسیر حرکت کاربران در مناطق مختلف شهری یا یک شهر خاص را دنبال کنم».

او در تحقیقات بعدی خود متوجه شد مهاجمان می‌توانند حتی نام واقعی کاربرانی که با این برنامه کاربردی در تعامل بوده اند را نیز استخراج کنند. Gasper در این خصوص گفته که: «من متوجه شدم اگر کاربری وجود یک مانع را در جاده اعلام کند یا به گشت پلیس گزارشی داده باشد، API نام کاربری و شناسه وی را به همه کاربرانی که از آن مسیر عبور کنند، انتقال می‌دهد. در حالی که این برنامه مجوز نمایش این داده‌ ها را ندارد. پاسخی که API به درخواست دریافت اطلاعات کاربران توسط سایرین می دهد شامل نام کاربری، شناسه، محل وقوع رویداد و حتی زمان اعلام آن است».

شرکت گوگل پس از اطلاع از این آسیب پذیری، آن را برطرف کرده است. یکی از کارشناسان امنیتی در این رابطه می گوید: «در هر سازمانی، آسیب‌پذیری‌ های مبتنی بر API به وفور مشاهده می‌شود و این آسیب‌پذیری‌ ها فرصت سوءاستفاده آسان را برای مهاجمان فراهم می‌کنند. به همین دلیل، سازمان‌ ها همواره باید بر APIهای مورد استفاده خودشان نظارت کامل داشته باشند».

سازمان‌ها همواره باید برای این سؤال های ساده اما مهم، پاسخ مناسبی داشته باشند: ما چه تعداد API داریم و مالک آنها کیست؟ آیا این APIها کنترل دسترسی و سازوکارهای احراز هویت لازم را دارند؟ و در نهایت اینکه این APIها چه نوع داده‌ هایی را منتقل می‌کنند؟

منبع: infosecurity-magazine

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.