Un chercheur découvre une vulnérabilité dans l'API de Waze, permettant de suivre les utilisateurs

Un chercheur en sécurité a découvert des vulnérabilités dans l’API de Waze qui lui permettaient de suivre avec précision les utilisateurs et leurs mouvements, et même d’extraire des données telles que les identifiants et les noms d’utilisateur.

Avec de très nombreuses personnes utilisant Waze partout dans le monde, il va de soi que la plate-forme collecte un gros volume de données. Lorsque ces données deviennent disponibles pour l’utilisateur moyen, cela lui permet donc de jeter un coup d’œil en coulisse et d’utiliser ces données privées à son avantage.

Le chercheur en sécurité Peter Gasper a commencé son analyse en examinant de plus près la Waze Live Map disponible dans n’importe quel navigateur. Il s’est particulièrement intéressé à la manière dont l’API traite les icônes des conducteurs à proximité, et a vite découvert qu’il pouvait forcer la plate-forme à lui envoyer les coordonnées des conducteurs à proximité et leurs numéros d’identification uniques.

“Hormis les informations routières essentielles, Waze m’envoie également les coordonnées des autres conducteurs qui se trouvent à proximité», précise le chercheur. «Ce qui a attiré mon attention, c’est que les numéros d’identification (ID) associés aux icônes ne changeaient pas avec le temps. J’ai décidé de suivre une conductrice et après un certain temps, elle est effectivement apparue à un endroit différent sur la même route.”

“J’ai créé un éditeur de code et construit l’extension Chromium en utilisant le composant chrome.devtools pour capturer les réponses JSON de l’API. J’ai pu visualiser comment les utilisateurs voyageaient largement entre différents quartiers de la ville ou même d’une ville à l’autre”, a-t-il poursuivi.

Inspiré par un article plus ancien qui montrait comment quatre points spatio-temporels suffisaient pour identifier de manière unique 95% des individus, il a réussi à suivre son identité. Il a également découvert que plus les utilisateurs interagissaient avec les applications, reconnaissant des obstacles routiers ou signalant des patrouilles de police, plus il pouvait utiliser d’informations.

En théorie, un attaquant pourrait choisir quelques endroits très encombrés à fort trafic, appeler périodiquement l’API et explorer les utilisateurs qui ont confirmé l’existence d’un obstacle. Étant donné que de nombreuses personnes utilisent leurs noms comme noms d’utilisateur, cela permettrait aux hackers malveillants de créer un annuaire d’identifiants et de noms d’utilisateurs au fil du temps.

Heureusement, Google a déjà corrigé cette vulnérabilité et a donné 1 337 $ de récompense via le programme Vulnerability Reward.