חוקר: האקרים יכולים לגרום לפקקי תנועה על ידי מניפולציה של נתוני תנועה בזמן אמת

האקרים יכולים להשפיע על זרימת התנועה בזמן אמת, מערכות ניתוח כדי לגרום לאנשים לנסוע לתוך פקקים או כדי לשמור על כבישים ברורים באזורים שבהם הרבה אנשים משתמשים ב- Google או מערכות ניווט של Waze, חוקר גרמני שהפגין ב BlackHat Europe.

Google ו- Waze מציעים ניווט מפורט ב יישומי smartphone ולהשתמש במידע נגזר טלפונים אלה בזמן אמת ניתוח התנועה. עם זאת, בשל הפער בין פרטיות המשתמש לבין איסוף נתונים, האקרים יכולים להשפיע על תוכנת הניווט באופן אנונימי כדי להערים על מערכת התנועה בזמן אמת כדי לרשום משהו שאינו קיים, אמר טוביאס ישקה, דוקטורנט במכון לביטחון מבוזר בקשות של האוניברסיטה הטכנולוגית של המבורג, במהלך ועידת האבטחה באמסטרדם.

"אתה לא צריך ציוד מיוחד עבור זה ואתה יכול לתמרן נתוני תנועה ברחבי העולם", אמר יסקה. [

[המשך קריאה: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

Google ו- Waze משתמשים ב- GPS וגם ב- Wi-Fi בטלפונים כדי לעקוב אחר מיקומים. אם ה- Wi-Fi לבדו מופעל רק מידע על נקודות גישה אלחוטיות ותאי רדיו באזור שמסביב, אשר יאפשר למערכות הניווט להתקרב למיקום המשתמש, אמר ג'סקה.

דוגמה של פקק תנועה מדומה המבורג, גרמניה

ניווט של Google משתמש במידע על תנועה בזמן אמת במפות Google לנייד. הפרוטוקול המשמש לשליחת מידע מיקום מוגן על ידי TLS (Transport Layer Security) המנהרה המבטיחה את שלמות הנתונים, כך שלא ניתן לתוקף לפקח על טלפון זר או לשנות מידע מבלי שיזוהה על ידי Google, אמר Jeske. עם זאת, TLS הוא חסר תועלת אם התוקף שולט על תחילת המנהרה TLS, הוסיף.

כדי להיות מסוגל לשלוט על תחילת המנהרה, ביצע Jeske אדם ב-באמצע התקפה על 4.0.4 אנדרואיד הטלפון כדי להכניס את עצמו לתוך התקשורת בין הטלפון החכם ו- Google. כאשר התוקף שולט על תחילת המנהרה, מידע כוזב יכול להישלח מבלי להיות מזוהים ובדרך זו התוקפים מסוגלים להשפיע על ניתוח זרימת התנועה, על פי Jeske.

אם, למשל, תוקף כונני מסלול ו אוספת את מנות הנתונים שנשלחו ל- Google, האקר יכול לשחק אותם מאוחר יותר עם קובץ cookie שונה, מפתח פלטפורמה חותמות זמן, הסביר Jeske במחקר שלו. ההתקפה יכולה להיות מוגברת על ידי שליחת כמה עיכובים מאוחרים עם עוגיות שונות ומפתחות פלטפורמה, מדמה מספר מכוניות, הוסיף Jeske.

התוקף לא צריך לנסוע מסלול כדי לתפעל נתונים, כי גוגל גם מקבל נתונים מטלפונים ללא מידע על מנת לאפשר לתוקף להשפיע על נתוני התנועה ברחבי העולם, הוא הוסיף כי תרחיש התקפה דומה ניתן להחיל על וויז, אך קשה יותר להשפיע על ניווטם של נהגים אחרים, אמר ג'סקה. Waze מקשר את נתוני המיקום עם חשבונות משתמשים, כך שתוקף המעוניין לדמות יותר כלי רכב צריך חשבונות שונים עם כתובות דוא"ל שונות, הוסיף.

Jeske גם מצא דרך להעביר נתוני מיקום ל- Waze ללא אימות משתמש, מה שהופך את התוקף אנונימי, אמר, מבלי לפרט על שיטה זו.

עבור התוקף כדי להשפיע בפועל התנועה, מספר משמעותי של משתמשי ניווט Waze או Google חייב להיות באותו אזור. כשמדובר בוויז, זה כנראה לא יקרה, למשל, סביב המבורג, הוא אמר. וויז, לעומת זאת, היה 20 מיליון משתמשים ברחבי העולם בחודש יולי בשנה שעברה, ולכן צריך להיות אזורים שבהם זה אפשרי, הוא אמר.למרות ש- Jeske לא בדק את הפגיעות של שירותים אחרים המציעים נתוני תנועה בזמן אמת, הם פועלים פחות או יותר באותו אופן כמו Google ו- Waze, ולכן הוא מצפה להתקפות דומות על מערכות אלו. המציעים יישומים ניווט יכול למנוע סוג זה של התקפה על ידי קישור מידע מיקום לאימות חד פעמי כי הוא חותמת זמן מוגבל כמות קבועה של זמן, אמר Jeske. זה היה להגביל את המספר המרבי של מנות נתונים חוקיים לכל זמן ומכשיר, עוזר לאבטח את המערכת, הוסיף