安全研究员发现Waze API漏洞，允许他...

安全研究员揭示Waze API漏洞：用户隐私面临威胁

一名安全研究员发现了Waze API中的一个漏洞，该漏洞允许他精确跟踪用户的移动轨迹，甚至提取用户的ID和用户名等敏感数据。这一发现引发了对用户隐私和数据安全的广泛关注。

Waze数据收集与隐私风险

作为一款全球广泛使用的导航应用，Waze不可避免地收集了海量用户数据。然而，当这些数据被普通用户或恶意行为者利用时，可能会带来严重的隐私问题。此次漏洞的发现正是一个典型案例，揭示了数据滥用的潜在风险。

漏洞分析：如何追踪用户位置

安全研究员Peter Gasper通过研究Waze实时地图的API接口，发现了该漏洞。他特别关注API如何处理附近司机的图标数据，并发现可以强制平台返回附近司机的坐标及其唯一身份号码（ID）。

“除了基本的交通信息外，Waze还会向我发送附近其他司机的坐标。让我感到意外的是，与图标相关的ID并没有随着时间的推移而改变。”Gasper表示。

通过追踪某一司机的ID，他成功地观察到该司机在不同地点的移动轨迹。这一发现表明，攻击者可以利用类似方法对用户进行持续跟踪。

技术实现：利用API捕获用户数据

为了验证漏洞的可行性，Gasper开发了一款基于chrome.devtools组件的Chromium扩展，用于捕获API返回的JSON响应数据。他通过可视化工具展示了用户在城市区域甚至城市之间的移动路径。

“受一篇旧论文的启发，我发现仅需四个时空点就足以唯一识别95%的个人。”Gasper进一步解释道。

此外，他还发现，用户与应用程序的交互频率越高（如报告道路障碍或警察巡逻），攻击者能够获取的信息就越多。

潜在风险：攻击者如何利用漏洞

理论上，攻击者可以选择高流量的拥挤地点，通过频繁调用API抓取确认存在障碍的用户数据。由于许多用户习惯使用真实姓名作为用户名，这种方式可能帮助攻击者建立一个包含ID和用户名的词典，从而进一步扩大隐私泄露的范围。

漏洞修复与奖励

幸运的是，谷歌在得知该漏洞后迅速采取了修复措施，并通过漏洞奖励计划向Gasper支付了1337美元的奖金。这一事件再次提醒开发者和用户，数据安全和隐私保护的重要性不容忽视。

总结

此次Waze API漏洞的发现不仅暴露了用户隐私面临的潜在威胁，也为开发者敲响了警钟。在数据驱动的时代，如何平衡功能性与隐私保护将成为每个技术平台必须面对的重要课题。未来，用户也应提高安全意识，避免在应用中使用真实姓名等敏感信息，以减少隐私泄露的风险。

原文链接: https://www.bitdefender.com/en-us/blog/hotforsecurity/security-researcher-finds-waze-api-vulnerability-allowing-track-users-gather-data