新闻链接：http://bobao.360.cn/learning/detail/2854.html
   新闻时间：2016-04-28
   新闻正文：Waze 是一个免费的应用程序,它可以在苹果IOS操作系统,Android移动操作系统,以及微软的WindowsPhone设备上运行。目前,Waze的用户已遍及全球约190多个国家和地区。Waze可以利用移动设备的GPS信息来获取有关路面的交通流量信息,从而向汽车驾驶员提供更好的行车路线。Waze还拥有一个由7万多名会员组成的社区,这些会员帮助Waze编辑地图和添加一些额外的细节信息,如特定加油站的汽油价格,或是驾驶员在何处应留心超速监视区。以及避免发生交通事故等等。

现在,有上百万的司机正在使用Waze,这款谷歌旗下的导航app可以帮助司机寻找从地点A去到地点B的最快行驶路径。根据研究人员透露的最新信息,这些使用了Waze的用户将有可能被攻击者跟踪,因为攻击者可以获取到用户的行驶路径信息。

最近,加利福尼亚大学圣巴巴拉分校的安全研究人员在Waze中发现了一个安全漏洞,攻击者可以利用这个漏洞创建成千上万个“僵尸用户“,并利用这些“虚拟司机”来监视其他的司机用户。也就是说,攻击者可以利用这个漏洞实时追踪真实的Waze用户。为了证明他们的研究结果,我开车从旧金山去到了拉斯维加斯,他们会对我这次为期三天的旅程进行跟踪。

Ben Zhao是该校计算机科学专业的教授,此次研究正是在他的带领下进行的。他表示:“这个漏洞将会引起非常严重的隐私问题。”

接下来,我会给大家详细讲解该漏洞的工作机制。用于跟用户手机进行通信的Waze服务器使用了SSL加密链接,这种安全防御措施是为了确保Waze服务器在与用户智能手机中Waze程序进行通信时的安全。Ben Zhao和他的研究生发现,他们可以将自己的计算机设置为手机和服务器通信链路中的一个中间件,并截获所有的通讯数据。当他们成功渗透进了手机与Waze服务器间的通信链路之后,他们就可以对Waze的通信协议进行逆向工程分析,并了解到Waze应用程序是如何与Waze的后台服务器进行交互的。了解到这些信息之后,研究团队就可以编写一个程序,并直接将命令发送给Waze的服务器。这也就意味着,研究人员就可以在Waze的系统中创建出上千台“虚拟的汽车”,而这些汽车就可以制造出堵车的假象,因为Waze实际上可以算是一款社交软件,司机可以利用Waze来报告他们的位置,并查看到这名司机周围其他司机的行驶信息。

http://p3.qhimg.com/t01f51ba4326ff85c84.png

这种攻击方式实际上与两年前以色列大学的学生在进行研究时使用的方法十分类似。当时,以色列大学的学生使用了一款模拟设备向Waze发送了大量的“虚拟汽车”,并且制造出了“交通堵塞”的假象。但是如果利用模拟器来模拟一台手机的话,我们在Waze系统中所能创建的“虚拟车辆”数量就十分有限了。与之不同的是,加利福尼亚大学圣巴巴拉分校的研究团队可以在笔记本电脑中利用脚本程序实现这一目的。他们可以利用脚本在Waze系统中创建出上千辆“虚拟车辆”,并对某一特定的区域进行监控。

Ben Zhao和他的研究生在一次测试中,尝试对他们的团队成员进行了攻击(当然是在他允许的情况下)。

Zhao说到:“他行驶了二十到三十英里,我们几乎从始至终都能够追踪到他的位置,他曾在加油站和一家旅馆停留过。”

http://p4.qhimg.com/t0124fe957896ae22c2.png

上周,我自己也对Waze中的漏洞进行了测试,因为我想了解到研究人员是如何能够对我那为期三天的旅程进行跟踪的。我在此过程中的所有信息都有可能被那些喜欢多管闲事的攻击者获取到,例如我去过哪些地方,在哪些地方停留过等等。

研究人员捕捉到了我三个不同时间点的位置信息,其中就包括我当时在拉斯维加斯乘坐出租车去吃晚餐的行为。

http://p3.qhimg.com/t0133d1deee7917fb5e.png

除此之外,他们还捕捉到了我在旧金山乘坐公交车上下班的情况。但是当我乘坐地铁时,他们就无法对我进行跟踪了。

http://p4.qhimg.com/t01b13eedc55bcd3f66.png

只有当我在地面车辆上行驶,并且Waze运行在智能手机的前台时,安全研究人员才能够追踪到我。但是在此之前,即便是Waze运行在手机的后台,他们同样能够追踪到用户的行踪。

http://p9.qhimg.com/t0126cf31077782e2e2.png

如上图所示,即使是我的智能手机中安装了防护软件,研究人员仍然能够对我所处的地理位置进行实时追踪。上图显示的就是我的行驶路程,而且无论是时间还是地点,都十分的准确。

2013年6月12日,Google公司正式宣布收购Waze。社交一直是Google的业务短板,尽管公司曾极力打造Google+,欲使之成为“社交脊柱”,贯穿公司的其它业务,但并不成功。随着Waze的加盟,可能会使Google在移动社交时代获得新的思路,让用户共享已浏览网站和一些其它形式的内容。收购Waze可以强化Google社交移动业务。之前,Waze已经融资6700万美元。它可以为Google强化社交实力,在移动通信领域牵制对手。收购之后的Waze仍然会独立于Google地图之外,一些Waze实时交通数据会植入Google地图,未来Google搜索功能会进一步与Waze融合。

当Ben Zhao的安全研究团队发现了这个问题之后,便立刻将漏洞信息提交给了谷歌公司,并且还在去年发表了一篇关于这项研究的论文。今年一月,谷歌公司也对Waze进行了升级更新,以防止应用程序在后台运行时,仍然会提交用户的位置信息。所以,如果你还没有升级Waze的话,请赶紧升级吧!

在此之前,Waze还允许用户标记警察出现的位置,提醒其他用户注意“警察出没”。允许标记警察位置,无论设计这一功能的初衷是什么,现在都被美国的治安管理部门认为Waze有可能会成为不法之徒跟踪警察的工具,他们也极力要求谷歌取消该功能。洛杉矶警察局长Charlie Beck在2014年12月30日给谷歌首席执行官写了一封信,他在信中抱怨说:“Waze有可能会被“犯罪份子不恰当的使用,从而危及警察群体。我相信贵公司也不愿意看到Waze被不法分子加以利用,成为跟踪警察位置的瞭望台。”

对于警察的发难,谷歌拒绝发表评论,但它将这一问题交给了Waze的发言人-Julie Mossler。她表示,Waze对产品的安全性非常重视,考虑得也非常全面和深入。Waze在与纽约警局,以及世界其他地区的警察部门和交通部门合作,共享众包信息。Julie Mossler 说到:“这些合作关系有助于保障公民的出行安全,提供快速应急响应,避免拥堵从而缓解交通压力。”

Waze的发言人还表示,公司正在对安全研究人员发现的问题进行检测和处理,公司的技术人员会采取进一步措施来保护用户的隐私信息。

与此同时,如果你确实需要使用Waze,但又担心你被不法分子跟踪,你可以按照下面给出的建议方法进行处理:将Waze设置成隐身模式。但是请广大用户注意,Waze会在每次重启之后,关闭隐身模式。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课