27 april 2016 10:52

Hackers kunnen Waze kapen om je omzwervingen te volgen

Onderzoekers zijn erin geslaagd om een exploit te ontwikkelen die de fysieke bewegingen van elke Waze-gebruiker met precisie kan nagaan.

Het sociale verkeersplatform Waze kan in de handen van hackers misbruikt worden om je stappen te volgen. Dat hebben Amerikaanse veiligheidsonderzoekers vastgesteld met enkele live experimenten op het platform, dat in handen is van Google. De exploit die het team met succes demonstreerde heeft bovendien een groter bereik dan enkel Waze: bijna alle apps kunnen potentieel slachtoffer worden.

Spookauto’s

De onderzoekers slaagden erin om hun eigen computers binnen te sluipen in de normaal versleutelde communicatie tussen de Waze-servers en de Waze-apps. Dat deden ze door een smartphone zo in te stellen dat communicatie altijd verliep langs hun computers. Het gaf hen de mogelijkheid om het Waze-protocol te bestuderen en te imiteren. Op basis van die kennis schreven ze een programma dat hen in staat stelde om de Waze-servers te manipuleren en duizenden “spookauto’s” op de kaarten van de app te laten rijden, of een onbestaande file te simuleren.

Het team kon de spookauto’s instrueren om een echte gebruiker te volgen. Op die manier kregen ze een alarmerend goed inzicht in de bewegingen van die persoon. Ze voerden de test uit op een van de leden van het team. “Hij reed zo’n 30 tot 50 km en we waren in staat om zijn locatie bijna de hele tijd te tracken,” stelt hoofdonderzoeker Ben Zhao in een interview.

Grote reikwijdte

[related_article id=”169720″]De exploit kan in principe op bijna elke app toegepast worden, maar voor verkeersapps als Waze vormt het een extra risico omdat deze continu de gps-locatie van hun gebruiker uitzenden. Je kan dergelijke stalking tegengaan door je als onzichtbare gebruiker aan te melden op de app, maar dat moet je elke keer opnieuw ingeven als je het programma opstart.

Het team rond Zhao is al even bezig met het onderzoeken van de kwetsbaarheid en liet Google vorig jaar ook zijn bevindingen bekijken. Waze heeft het probleem al gedeeltelijk aangepakt door het uitschakelen van de gps-uitzendingen wanneer de app in de achtergrond loopt.

“Dit is groter dan Waze,” zegt Zhao. “We hebben naar een heleboel verschillende apps gekeken en bijna allemaal hadden ze deze quasi-catastrofale kwetsbaarheid.”

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

Beveiliging google mobiel waze

Nina van Hoof

Nina’s internetleven draait op Windows en Android, haar muziek op een iPod en Spotify. Ze selecteert elke dag het nieuws dat je moet gelezen hebben en schrikt er niet voor terug om ook de zakelijke kant van IT te belichten.