Si tienes un sentido de la orientación tan bueno como el mío (nótese la ironía) probablemente hagas un uso intensivo de Waze, la popular app de GPS para iOS y Android. Waze no sólo te lleva del punto A al punto B, sino que además ofrece información sobre el tráfico en tiempo real, basada en su propia comunidad de usuarios.
Lo malo es que, igual que hay gente que avisa de buena fe de un accidente, de obras en la carretera o de la presencia de una patrulla de la policía, también hay quien podría abusar del sistema y utilizarlo para espiar los movimientos de todos sus usuarios. O al menos eso es lo que denuncia un grupo de investigadores de la Universidad de Santa Barbara en California, tras descubrir una grave vulnerabilidad en Waze que podría dejar al descubierto los desplazamientos de millones de conductores.
El estudio, recogido en un extenso PDF, demuestra una vulnerabilidad que permite crear miles de "conductores fantasma" en Waze, capaces de rastrear los movimientos de todos los conductores reales a su alrededor, y hacerlo además en tiempo real.
Dónde está el problema
La raíz de esta peligrosa vulnerabilidad está en las comunicaciones entre los servidores de Waze y la app que tenemos en el móvil. Dichos servidores usan una conexión cifrada SSL como medida de seguridad para asegurar que realmente están en conexión con la app instalada en el móvil de un usuario. Lo que el equipo de investigación descubrió es que podían hacer que el móvil aceptara su propio ordenador como un puente de conexión entre la app y el servidor de Waze.
Una vez establecido un ordenador propio entre el móvil y el servidor, los investigadores lograron descifrar el protocolo de Waze y descubrir así el lenguaje utilizado entre la app y los servidores. A partir de ese momento, podían hacer simplemente lo que quisieran, enviando los comandos adecuados al servidor de Waze - y éste los aceptaría sin problemas, pensando que venían de la app.
En sus pruebas, los investigadores consiguieron crear miles de conductores fantasma, creando con ellos atascos "virtuales" que no existían en realidad, pero que obligarían a los conductores "reales" a tomar una ruta alternativa, dirigidos por su app de Waze. Además, como los usuarios de Waze comparten su ubicación por defecto, estos conductores fantasma podían hacer seguimiento de todos los movimientos de los conductores reales que circulaban cerca de ellos.
De hecho, aplicando la vulnerabilidad a uno de los miembros del equipo, fueron capaces de espiar sus movimientos con todo detalle durante un recorrido de entre 30 y 50 kilómetros. "Pudimos ver dónde estaba casi en todo momento" comenta Ben Zhao, director del equipo de investigación. "Paró en algunas gasolineras y en un hotel".
Un grave ataque a la privacidad que ya se conocía
Este mismo equipo de investigación de la Universidad de Santa Barbara ya informó a Google del problema el año pasado, y publicaron una primera versión de su investigación. Entonces la vulnerabilidad era todavía peor, puesto que permitía hacer seguimiento de los movimientos de alguien incluso con Waze en ejecución en segundo plano.
Una actualización de la app en enero aplicó un parche que evitaba que ésta compartiera tu ubicación públicamente cuando la app está en segundo plano - un cambio que Waze describió como "una función para ahorrar batería". Sin embargo, si la app está en funcionamiento en primer plano, la vulnerabilidad sigue todavía ahí.
De hecho, según los investigadores, este problema de privacidad online podría escalarse fácilmente, e incluso afectar a otras apps. "Podrías hacer seguimiento de millones de conductores con sólo un puñado de servidores, o contratando más en plataformas como Amazon Web Services", comenta Zhao. En sus palabras, este tipo de ataque se podría extender también a otras aplicaciones, donde una vulnerabilidad así permitiría descargar cualquier tipo de dato que los usuarios compartan unos con otros (como la ubicación, en el caso de Waze) o tirar abajo el servicio con tráfico creado artificialmente.
La respuesta de Waze
Waze, por su parte, afirma estar mejorando continuamente sus herramientas y mecanismos para prevenir el abuso o mal uso del sistema, para lo cual cuenta con el asesoramiento de investigadores especializados en seguridad y privacidad de todo el mundo. "Este grupo se puso en contacto con nosotros en 2014 y desde entonces hemos atendido algunos de sus avisos, implementando mejoras en nuestro sistema para proteger la privacidad de nuestros usuarios", comentaba un representante de la app.
Sin embargo, parece que esas mejoras están todavía lejos de solucionar el problema, tal y como pudo comprobar el equipo de Zhao, y más tarde, una periodista que se sometió voluntariamente al control de sus movimientos en Waze. Lo peor, además, es que, en palabras de los investigadores, "el seguimiento es realmente difícil de detectar, y tampoco tenemos claro cómo poner fin a esto".
Mientras los ingenieros de Waze (y los de Google, propietaria de la app) buscan una solución, hay un pequeño truco para que puedas seguir usando Waze con la misma tranquilidad de siempre: ve a tu perfil en la app, tocando en tu nombre de usuario, y activa el modo invisible. Eso sí, el ajuste no se guarda entre sesiones, así que tendrás que hacerlo cada vez que uses Waze.
Vía | Fusion.net
Más información | Trabajo de investigación de la Universidad de Santa Barbara
En Genbeta | ¿Quién dijo privacidad? Esta encuesta de Facebook ya le ha robado los datos de 17 millones de usuarios