Algunas aplicaciones se han convertido ya en parte de nuestro día a día. Es algo natural: enviamos mensajes por WhatsApp, consultamos los mapas por Google Maps y revisamos el estado del tráfico por Waze. Sin embargo, como cualquier otro servicio, su seguridad puede verse comprometida y dar quebraderos a sus usuarios.
Un grupo de estudiante de cuarto curso del instituto tecnológico Technion-Israel ha logrado crear un atasco fantasma para demostrar los problemas de este servicio. No se ha comprometido la seguridad de las infraestructuras, ni tampoco se han cortado las carreteras, el proceso ha sido mucho más sencillo.
Waze, para quien no conozca cómo funciona, se basa en los avisos que hacen los usuarios. Se envía la posición del GPS y según el reporte que se haga el servicio categoriza la información para ir indicando el estado del tráfico en tiempo real. Este grupo de estudiantes ha usado esta mecánica para falsear el estado del tráfico.
Creando un montón de cuentas falsas, se enviaron miles de reportes en diferentes puntos, falseando la posición, para bloquear diferentes puntos en la carretera. Un método sencillo que no pone entredicho los protocolos de seguridad como tal sino la forma en la que se estructura la aplicación y su modus operandi.
Con este experimento no se ha pretendido hacer un uso malicioso sino informar a Waze del problema y que lo arreglen lo antes posible. Habrá que tener un poco más de cuidado con la navegación con GPS en el móvil para evitar que sucedan problemas reales con este tipo de usos.
Vía | The JPost En Xataka | Estrategia de los navegadores GPS integrados
Ver 17 comentarios
17 comentarios
carloscf
Hay que ser hijos de puta. El servicio ese se basa precisamente en la comunidad y compartir.
torvis
Pues menudo mérito...es como si 300 personas se ponen a llamar al 112 diciendo que hay un accidente y van y se lo creen...pues claro...y? Eso lo sabe hacer cualquiera... SUSPENSOS!!
Pablosar
Primero que eso no es una vulnerabilidad, el servicio se basa en lo que comparte la comunidad, y si hay unos (como alguien ya los denomino) HDP que falsean la información, que esperan.
Segundo, eso es "hackear" un servicio?? crearse unas cuentas falsas y mandar info falsa?
abaddario1
Porque siempre tiene que haber gente tan maliciosa? ese servicio se apoya en ayuda de todos los usuarios.
smoo
yo hago lo mismo todos los dias: NO informo de los atascos!!
Kinematix
¿Vulnerabilidad? Mucho les queda por aprender a estos estudiantes para saber lo que es una "vulnerabilidad".
Waze se basa precisamente en eso: compartir información en tiempo real con el resto de usuarios de la plataforma, ergo, el programa no falla, lo que falla es la cabeza de quien quiere trollear aprovechando esa característica del programa.
zibergazte
Igual lo que buscan es que cuando subes un report debas mandar también tu localización y haya un método de validación adicional. Digo esto sin saber como funciona Waze (y como se desprende de mi comentario, sin interés por saber como funciona)
lalomagnus
Y estarán orgullosos de su hazaña..
fongsa8a
Seguro usaron todas las cuentas desde la misma IP o dispositivo. Si el servidor vigila esto podria detectar el ataque.
machoclomon
Con tantas cuentas tendría que tener anotado todas las contraseñas.