Sicherheitsexperte findet Schwachstelle in Waze-API, über die er Daten sammeln und Benutzer verfolgen kann

Ein IT-Sicherheitsexperte hat eine Sicherheitslücke in der Waze-API entdeckt, über die er die genauen Bewegungen von Benutzern verfolgen und sogar Daten wie IDs und Benutzernamen auslesen konnte.

So verbreitet, wie Waze auf der Welt ist, wundert es nicht, dass auf der Plattform einiges an Daten gesammelt wird. Problematisch wird es, wenn normale Benutzer Zugriff auf diese Daten erlangen und somit gewissermaßen einen Blick hinter die Kulissen erlangen und diese Daten zur persönlichen Bereicherung missbrauchen.

Der Sicherheitsexperte Peter Gasper nahm die Waze Livemap unter die Lupe, die in jedem Browser angezeigt wird. Besonders interessierte ihn die Frage, wie die API mit den Symbolen für andere Fahrer in der Nähe umgeht. Bald fand er heraus, dass er die Plattform dazu bringen konnte, ihm die Koordinaten anderer Fahrer in seiner Nähe sowie deren IDs zu übermitteln.

„Außer den grundlegenden Verkehrsdaten übermittelt mir Waze auch die Koordinaten anderer Fahrer in meiner Nähe“, so Gasper auf seiner Website. „Mir fiel auf, dass die Identifikationsnummern (IDs) der Symbole sich mit der Zeit nicht änderten. Also versuchte ich, eine Fahrerin zu verfolgen, und tatsächlich tauchte sie bald an einer anderen Stelle auf derselben Straße auf.“

„Mithilfe einer chrome.devtools-Komponente habe ich einen Code-Editor und eine Chromium-Erweiterung erstellt, um JSON-Antworten der API abzufangen. So war ich in der Lage, grafisch darzustellen, wie sich andere Benutzer grob zwischen Stadtteilen oder auch verschiedenen Städten bewegten“, so Gasper weiter.

Angeregt durch eine ältere wissenschaftliche Abhandlung, nach der vier Ort-Zeit-Punkte ausreichen, um 95 % aller Personen eindeutig zu identifizieren, war er in der Lage, die ID zu verfolgen. Er fand ebenfalls heraus, dass er umso mehr Daten nutzen konnte, je mehr Benutzer mit den Apps interagieren und Straßensperren oder Radarkontrollen bestätigten.

Theoretisch könnte ein Angreifer sich ein paar Punkte mit hoher Verkehrsdichte heraussuchen und in regelmäßigen Abständen die API aufrufen, um die Benutzer zu erfassen, die dort eine Verkehrsbehinderung bestätigen. Da Viele ihren echten Namen als Benutzernamen verwenden, könnten Angreifer so ein Verzeichnis aus Ids und Benutzernamen erstellen.

Zum Glück hat Google die Sicherheitslücke bereits geschlossen. Über das Google Vulnerability Reward Program wurden 1337 USD ausgezahlt.