Cada vez más personas están usando Waze, una aplicación que permite encontrar la mejor ruta para ir de un punto a otro. Aunque la app busca ser lo más segura posible, según un nuevo estudio, las personas que usan Waze son susceptibles de ser monitoreadas por hackers.Investigadores de la Universidad de California-Santa Barbara descubrieron hace poco una falla en Waze que les permite crear miles de ‘conductores fantasma’ que pueden monitorear a los conductores que están alrededor. El líder de la investigación, Ben Zhao, dijo que este es un problema de privacidad grave.
Un reporte de Fusion explica detalladamente cómo funciona el sistema de monitoreo fantasma. El autor de la nota incluso lo probó con el equipo de investigadores que descubrió la falla.
¿Cómo funciona el sistema? Los servidores de Waze se comunican con los celulares con un cifrado SSL, que asegura que los computadores de Waze en realidad le están dando información a una persona (a su smartphone). Zhao y su equipo descubrieron que se podía interceptar esa comunicación cuando un celular aceptaba su computador como una conexión intermedia.
Una vez que un computador está entre los servidores de Waze y los celulares, los investigadores aprender el lenguaje que la aplicación usa para comunicarse con los servidores. Luego el equipo logró escribir un programa que crea comandos directamente para los servidores de Waze, lo cual le permitió a los investigadores poblar el sistema de Waze con miles de ‘carros fantasma’. Y tal como si fueran usuarios de la aplicación, estos conductores fantasma podían reportar tráfico o monitorear a otros conductores alrededor.
El equipo de investigadores hizo la prueba con uno de los periodistas del medio y acertaron en monitorear sus movimientos en el transcurso de tres días. Zhao informó a Google (que es dueño de Waze) sobre la falla, y le entregó un reporte sobre sus descubrimientos.
En enero de este año Waze hizo una actualización de la app que evita que se transmita la ubicación de los usuarios cuando la aplicación está funcionando en el fondo, es decir que no está abierta.
Un vocero de Waze dijo en un comunicado que están implementando todos los mecanismos para prevenir el mal uso de la aplicación, y que para eso están atentos a las investigaciones como la de Zhao.
Según el vocero de la aplicación, el concepto de Waze se basa en que todos los usuarios trabajen juntos para compartir la información que les interesa a todos. Entre los escudos de seguridad de la aplicación hay un sistema que hace que la ubicación de un usuario no se reproduzca en tiempo real, sino con un poco de retraso. Sin embargo, los investigadores determinaron que ese escudo no previno el monitoreo en tiempo real que ellos pudieron hacer.
Zhao dijo que esta falla es peligrosa porque cualquier persona que tenga servidores y sepa programar las órdenes puede aprovecharse de la falla y enmascararse como un conductor más, lo que lo hace muy difícil de detectar. Y aún más: si se publica esa información, el público podría seguir los movimientos de más de 50 millones de personas que usan Waze.
Imagen: Antonio E. Da Silva Campos (vía Flickr).
