O Waze é um ótimo exemplo de como ideias simples podem ajudar muita gente a lidar melhor com as intempéries de viver em cidades grandes, usando o poder da internet para ajudar as pessoas a encontrar o caminho com menos trânsito para os seus destinos. No entanto, um grupo de pesquisadores disse que esse benefício não vem sem riscos, já que o popular app supostamente pode ser hackeado para dar a invasores detalhes sobre a localização de seus usuários.
Um time de cientistas do campus de Santa Barbara da Universidade da Califórnia (UCSB), nos EUA, descobriu um método de abusar de uma falha no código dos servidores do aplicativo para interceptar a localização de usuários e monitorar outros condutores ao seu redor. O feito exigiu um grande esforço e o emprego de técnicas de engenharia reversa, mas eventualmente permitiu que o grupo enviasse comandos diretamente para os servers.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
A falha poderia ser usada para rastrear a localização de usuários e manipular seus trajetos
Para isso, os estudiosos criaram milhares de “motoristas-fantasma” capazes de monitorar todos os outros condutores que estivessem nas suas proximidades. O exploit pode ser usado para criar engarrafamentos falsos e informações sobre ocorrências fajutas, o que poderia ser utilizado para manipular a rota traçada pelo app – além de frustrar os usuários. Vale notar, no entanto, que esse tipo de ataque não está limitado ao Waze.
Como escapar do risco
Caso você seja um usuário do aplicativo e esteja ficando preocupado, pode ficar um pouco mais tranquilo, já que há algumas medidas que podem ser tomadas para evitar que a falha seja usada contra você. Ativando o modo de “invisibilidade” do Waze, por exemplo, você não será afetado pelo bug. Para ativar esse recurso, toque o símbolo do app no canto inferior esquerdo da tela principal, clique sobre o seu nome no menu lateral e ative a opção “Ficar invisível”.
Siga os passos acima para ativar o modo de "invisibilidade" e escapar do problema
Outra forma de evitar o problema é utilizar o app em plano de fundo com instruções sonoras, pois os responsáveis pelo Waze desativaram em janeiro o compartilhamento de localização para quando o programa não estiver aberto na sua tela. Por fim, também é possível acessar as configurações avançadas e limitar a transferência de dados, impedindo que um computador crie múltiplos motoristas-fantasma para tentar rastrear sua localização.
Os pesquisadores vêm mantendo contato com os responsáveis pelo app há algum tempo e a companhia já implementou alguns recursos para ajudar a impedir que a falha seja explorada – como é o caso da função de invisibilidade citada acima. A empresa afirma estar trabalhando em outras formas de reparar as demais falhas no sistema. Por enquanto, não há indícios de que o exploit já esteja sendo utilizado para fins maliciosos.
Mais difícil do que parece
Após a repercussão internacional da notícia da falha reportada pela UCSB, a empresa responsável pelo Waze falou sobre o assunto em uma postagem em seu blog. A companhia não nega a existência da vulnerabilidade, mas afirma que a questão se espalhou de forma exagerada e que o exploit é muito difícil de ser usado livremente sem que o interessado já saiba o nome de usuário e a localização aproximada de seu alvo.
A empresa está trabalhando para corrigir a falha, mas diz que a questão está sendo exagerada
Além disso, a companhia ressalta que os ícones de carros visíveis publicamente nos mapas do app não representam a posição de em tempo real. Dessa forma, podemos ficar mais tranquilos sobre os riscos provenientes de usar o programa. Ainda assim, talvez seja uma boa ideia ativar as opções de privacidade do Waze, só por garantia.
------
Atualização
Entrando em contanto com o TecMundo, o prota-voz do Waze no Brasil, Julie Mossler, reiterou que a empresa divulgou uma explicação aprofundada em seu blog. Além disso, ele revelou que, novas implementações de segurança foram adicionadas em várias áreas do app nas últimas 24 horas, incluindo a prevenção da ameaça hipotética de “Ghost Riders” (motoristas-fantasmas) afetarem o comportamento do sistema e realizarem um rastreamento dos usuários.
Essas atividades não ocorreram em tempo real e em ambientes práticos, sem o conhecimento dos participantes
"O ecossistema do Waze é baseado na confiança e no profundo respeito a nossos usuários. O tráfego em tempo real simplesmente não funciona sem a participação deles e estamos constantemente revisando e adicionando mais proteção a eles. É importante ressaltar que o nosso sistema tem sido, e continua sendo, seguro para os usuários todos os dias", explica o representante.
"As contas da repórter ou as de outros usuários não foram comprometidas e não é possível que um estranho procure, encontre e rastreie um usuário Waze no mapa em tempo real. Com o consentimento da repórter para usar seu nome de usuário Waze e os detalhes da sua localização, os pesquisadores foram capazes de deduzir seções de sua rota, após o fato. Nenhuma dessas atividades ocorreram em tempo real e em ambientes do mundo real, sem o conhecimento dos participantes", conclui.
Você tem medo que sua localização possa ser rastreada por meio do Waze? Comente no Fórum do TecMundo
Fontes
Categorias