Waze se ha convertido en una de las aplicaciones de navegación para el coche más populares de todo el mundo, pero estos días se descubrió que esta herramienta no solo nos permite llegar a destino de la forma óptima: también podría convertirnos en un objetivo de los hackers, que podrían averiguar nuestra posición gracias a una vulnerabilidad en el sistema.
Un grupo de investigadores de la Universidad de Santa Bárbara en California descubrieron que crear un conjunto de "conductores fantasma ficticios" en la aplicación permitía monitorizar a los conductores reales que conducían a su alrededor y hacer un seguimiento de su posición. En Google, la empresa que acabó comprando Waze, afirman que el problema no es grave y niegan que haya ningún peligro crítico para la privacidad, aunque eso sí: lo han tomado en cuenta para realizar mejoras.
¿Problemas de seguridad en Waze?
Ben Zhao, el investigador jefe del proyecto explicaba cómo funcionaba el expploit: los servidores de Waze se conectan con los móviles en los que se usa la aplicación a través de una conexión cifrada. Sin embargo es posible interceptar esa comunicación logrando que los teléfonos acepten al ordenador del hacker como una puerta de enlace a esa conexión con los servidores, algo que permitió entender cómo funcionaba la transmisión de datos entre los móviles y los servidores.
Eso permitió a estos expertos desarrollar un programa que enviaba comandos a los servidores, creando miles de "coches fantasma" que podían por ejemplo causar un atasco ficticio o, algo incluso más peligroso, lograr monitorizar a todos los conductores que se encontraban en su radio de acción.
En las pruebas con su sistema afirmaron que uno de los miembros del equipo (que dio su permiso para esa prueba) estuvo constantemente monitorizado gracias a este sistema. Detectaron su recorrido y sus paradas, algo que luego se repitió con la prueba que realizó uno de los editores de Fusion, donde se publicó el resultado del estudio. Aunque Waze publicó una actualización que resuelve parte del problema -se evita esa monitorización si la aplicación corre en segundo plano- los investigadores creen que el peligro sigue existiendo.
En Google afirman que el problema no es tan grave, pero reaccionan a tiempo
Los responsables de Google publicaron una respuesta en su blog ayer para explicar que el problema no es tan grave y que tanto lo publicado en Fusion como en el estudio de este grupo de investigadores contenía "conceptos erróneos graves".
En primer lugar, en Waze (y Google) afirman que el uso de coches fantasma es la norma, no la excepción: eso hace que los conductores "no se sientan tan solos" en lugares en los que Waze no es tan popular. De hecho insistieron en que un atacante no puede encontrarte o seguirte mientras usas la aplicación.
Aquí señalaban un detalle importante: tanto el investigador que probó esa función como la periodista que la corroboró "querían ser encontrados", y dieron tanto su nombre de usuario como su localización inicial al equipo de investigación, algo que "simplificó enormemente el proceso de deducir secciones de su ruta haciendo un sistema de conductores fantasma".
Aún así en Google sí quisieron tener en cuenta esa posibilidad e indicaron que habían introducido mejoras en las últimas 24 horas "para solucionar la vulnarabilidad y evitar que los conductores fantasma puedan afectar el comportamiento del sistema y que puedan realizar actividades de seguimiento similares". Así pues, parece que podéis (podemos) estar tranquilos si usáis Waze.
Vía | Fusion
Más información | Arxiv (PDF)
En Xataka Android | Waze para Android estrena los avisos de límite de velocidad
También te recomendamos
¿Un teclado de Google para iOS? La estrategia por conquistar el operativo de Apple continúa
Un plugin de WordPress y un Drupal antiguo, causantes de la filtración de los Papeles de Panamá
Estos portátiles tienen un truco para representar el color sin defectos
-
La noticia ¿Pueden los hackers espiarte si usas Waze? En Google lo niegan fue publicada originalmente en Xataka por Javier Pastor .
via Xataka http://ift.tt/1WUpsVB
No hay comentarios:
Publicar un comentario