2 min de lecture

Un chercheur découvre une vulnérabilité dans l'API de Waze, permettant de suivre les utilisateurs

Bitdefender

Octobre 22, 2020

Ad Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 90 jours
Un chercheur découvre une vulnérabilité dans l'API de Waze, permettant de suivre les utilisateurs

Un chercheur en sécurité a découvert des vulnérabilités dans l’API de Waze qui lui permettaient de suivre avec précision les utilisateurs et leurs mouvements, et même d’extraire des données telles que les identifiants et les noms d’utilisateur.

Avec de très nombreuses personnes utilisant Waze partout dans le monde, il va de soi que la plate-forme collecte un gros volume de données. Lorsque ces données deviennent disponibles pour l’utilisateur moyen, cela lui permet donc de jeter un coup d’œil en coulisse et d’utiliser ces données privées à son avantage.

Le chercheur en sécurité Peter Gasper a commencé son analyse en examinant de plus près la Waze Live Map disponible dans n’importe quel navigateur. Il s’est particulièrement intéressé à la manière dont l’API traite les icônes des conducteurs à proximité, et a vite découvert qu’il pouvait forcer la plate-forme à lui envoyer les coordonnées des conducteurs à proximité et leurs numéros d’identification uniques.

“Hormis les informations routières essentielles, Waze m’envoie également les coordonnées des autres conducteurs qui se trouvent à proximité», précise le chercheur. «Ce qui a attiré mon attention, c’est que les numéros d’identification (ID) associés aux icônes ne changeaient pas avec le temps. J’ai décidé de suivre une conductrice et après un certain temps, elle est effectivement apparue à un endroit différent sur la même route.”

“J’ai créé un éditeur de code et construit l’extension Chromium en utilisant le composant chrome.devtools pour capturer les réponses JSON de l’API. J’ai pu visualiser comment les utilisateurs voyageaient largement entre différents quartiers de la ville ou même d’une ville à l’autre”, a-t-il poursuivi.

Inspiré par un article plus ancien qui montrait comment quatre points spatio-temporels suffisaient pour identifier de manière unique 95% des individus, il a réussi à suivre son identité. Il a également découvert que plus les utilisateurs interagissaient avec les applications, reconnaissant des obstacles routiers ou signalant des patrouilles de police, plus il pouvait utiliser d’informations.

En théorie, un attaquant pourrait choisir quelques endroits très encombrés à fort trafic, appeler périodiquement l’API et explorer les utilisateurs qui ont confirmé l’existence d’un obstacle. Étant donné que de nombreuses personnes utilisent leurs noms comme noms d’utilisateur, cela permettrait aux hackers malveillants de créer un annuaire d’identifiants et de noms d’utilisateurs au fil du temps.

Heureusement, Google a déjà corrigé cette vulnérabilité et a donné 1 337 $ de récompense via le programme Vulnerability Reward.

tags


Auteur



Actualités

Les + populaires

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Août 11, 2021

4 min de lecture
Cinq conseils pour renforcer la sécurité de votre compte Apple

Cinq conseils pour renforcer la sécurité de votre compte Apple

Juillet 16, 2021

6 min de lecture
Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Juin 30, 2021

3 min de lecture
7 conseils de sécurité pour protéger votre mobile et vos données personnelles

7 conseils de sécurité pour protéger votre mobile et vos données personnelles

Juin 23, 2021

4 min de lecture
Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Mai 06, 2021

3 min de lecture
La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

Août 17, 2020

2 min de lecture

FOLLOW US ON

SOCIAL MEDIA


Vous pourriez également aimer

Des caméras utilisées dans des crèches posent de sérieux problèmes de sécurité Des caméras utilisées dans des crèches posent de sérieux problèmes de sécurité
Bitdefender

Février 19, 2021

2 min de lecture
Le président Joe Biden ne pourra plus utiliser son vélo connecté Peloton Le président Joe Biden ne pourra plus utiliser son vélo connecté Peloton
Bitdefender

Janvier 25, 2021

1 min de lecture
Un nouveau logiciel malveillant utilise l'identifiant du WiFi pour déterminer l'emplacement de sa victime Un nouveau logiciel malveillant utilise l'identifiant du WiFi pour déterminer l'emplacement de sa victime
Bitdefender

Janvier 08, 2021

1 min de lecture