Ik kende het niet, maar Google schijnt een mobiel navigatiesysteem te hebben: Waze. Dat schijnt interactief te zijn. Ik begrijp dat het voortdurend door de gebruikers wordt bijgewerkt, als de verkeerssituatie verandert. Nu het minder goede nieuws: via Waze schijnt het niet heel ingewikkeld te zijn je gangen na te gaan of in te breken in de communicatie tussen gebruiker en de servers van Waze. Dat ontdekten onderzoekers van de universiteit van Californië in Santa Barbara (VS). Het vorig jaar bij Google aangemelde lek is maar provisorisch gedicht.
Het lek in Waze maakt het derden mogelijk de gebruikers te volgen. Om dat te demonstreren volgden de onderzoekers drie uur lang de journalist van het blad Fusion waarin hun verhaal verscheen. Die verplaatste zich met taxi’s en openbaar vervoer. Alleen als de metro ondergronds ging, waren ze hem even kwijt.
Ondanks dat de verbinding tussen de (telefoon van de) gebruiker en de Waze-servers is beveiligd, lukte het de onderzoekers daar binnen te dringen. Om dat voor elkaar te krijgen gebruikten de onderzoekers de methode van terugontwikkeling. Ze onderschepten eerst de via SSL versleutelde verbinding tussen gebruikers en servers om te zien welk protocol/taal er werd gebruikt in de communicatie. Vervolgens bouwden ze een programma dat direct opdrachten naar de servers stuurde, waarbij ze in feite tussen de gebruikers en de servers gingen zitten. Hoe ze er in geslaagd zijn dat die server die opdrachten accepteerde vertelt het verhaal niet (het kan toch niet zo zijn dat als je het protocol kent je zo’n computer simpel kan misleiden?). Ze raakten in ieder geval ‘binnen’ en konden gebruikers volgen, maar ook voor nepopstoppingen zorgen.
Waze verlaat zich op inlichtingen van zijn gebruikers, zodat die bijtijds weet hebben van ongelukken, wegomleidingen of wat er dan ook aan de verkeerssituatie is veranderd. Dat konden de onderzoekers ook, maar dan nep. Met duizenden spookauto’s wisten ze een hele wijk voor onbereikbaar verklaard te krijgen.
Het lek is vorig jaar aan Google gemeld. Begin van dit jaar is er een lapmiddel bedacht, officieel om batterijtijd te besparen en te vookomen dat de gps-gegevens bij andere gebruikers terecht zouden komen als Waze op de achtergrond draait. Het lek schijnt echter nog steeds niet gedicht te zijn. Er is een voorlopige oplossing via de instellingen van je profiel. Je moet dan kiezen voor de ‘onzichtbare modus’ . Het vervelende is alleen dat je dat elke keer weer moet doen als je Waze opstart. Standaard staat die optie uit.
Bron: Futura-Sciences