Cyberthreat.id - Seorang peneliti keamanan menemukan celah keamanan pada aplikasi pemandu jalan Waze (milik Google) yang memungkinkan hacker atau penjahat mengidentifikasi pengguna Waze yang lain dan memantau lokasinya.

Waze merupakan aplikasi navigasi untuk perangkat telepon genggam dan tablet PC yang berbasis GPS. Berbeda dengan aplikasi navigasi lain, Waze memberikan informasi dan peta berdasarkan masukan komunitas pemakainya. Informasi mengenai kecelakaan, kemacetan jalan, polisi, dan bahaya, berdasarkan kondisi nyata yang dilaporkan para penggunanya.

Peter Gasper, peneliti keamanan itu, menemukan cacat API yang memungkinkannya melacak pergerakan spesifik pengemudi lain di sekitarnya secara real time dan bahkan mengidentifikasi dengan tepat siapa mereka.

Dalam posting blognya , ia mengatakan dirinya tidak hanya menerima informasi koordinat lalu lintas miliknya saja, tetapi juga koordinat pengemudi lain yang ada di sekitarnya. Yang menarik perhatian, nomor identifikasi (ID) yang terkait dengan ikon tidak berubah seiring waktu.

"Saya memutuskan untuk melacak satu pengemudi dan setelah beberapa waktu dia benar-benar muncul di tempat yang berbeda di jalan yang sama," ungkap Gasper dalam posting blognya.

Gasper mengatakan, setelah dirinya mengedit kode dan membuat ekstensi Chromium memanfaatkan komponen chrome.devtools untuk menerima respon JSON dari API, ia dapat memvisualisasikan bagaimana orang yang dilacaknya melakukan perjalanan antara kabupaten kota atau bahkan kota itu sendiri.

"Setelah saya dapat memasangkan data lokasi yang disertai dengan ID unik, saya tahu bahwa pasti ada cara untuk mengidentifikasi pengguna," ujarnya.

Terinspirasi dari makalah penelitian yang diterbitkan pada 2013 berjudul Unique in the Crowd, yang mengklaim bahwa hanya empat titik spasial yang cukup untuk mengidentifikasi 95 persen orang secara unik, Gasper mengatakan ia memutuskan untuk mengidentifikasi pengemudi yang dapat ia lacak lewat  Waze.

Gasper melakukannya dengan mencari ID-nya sendiri, hanya menggunakan peta Waze. Ia menemukan ID-nya di area dengan kepadatan rendah, dan memantau lokasinya sendiri.

Dari situ, Gasper menemukan, saat pengguna menerima informasi lalu lintas, ID pengguna bersama dengan nama pengguna dikembalikan oleh API Waze ke pengguna Waze mana pun yang melewati tempat itu. Aplikasi biasanya tidak menampilkan data ini kecuali ada komentar eksplisit yang dibuat oleh pengguna, tetapi respons API Waze berisi nama pengguna, ID, lokasi peristiwa, menjadi salah satu bentuk kebocoran privasi pengguna.

Gasper mengatakan, untuk memanfaatkan kerentanan ini, penyerang dapat memilih beberapa lokasi dengan lalu lintas tinggi dan pemberitahuan berjalan pendek / panjang yang ada pada hambatan tersebut, kemudian secara berkala memanggil API dan menemukan pengguna yang mengkonfirmasi adanya hambatan.

Yang menjadi masalah adalah, karena banyak pengguna yang menggunakan nama asli mereka sebagai nama pengguna dalam aplikasi, ini dapat dimanfaatkan dan dikumpulkan oleh penjahat siber untuk membuat daftar nama pengguna dan ID mereka, serta menyimpan semua lokasi dan menghubungkannya dengan pengguna.

Gasper melaporkan kerentanan ini Waze ini ke Google pada bulan Desember 2019 lalu, dan mendapatkan hadiah bug sebesar US$ 1.337 dari Program Penghargaan Kerentanan Google pada Januari 2020. Gasper mengungkap kerentanan tersebut secara publik pada bulan Agustus.

Saat ini Google telah menambal cacat API yang memungkinkan penjahat siber mengidentifikasi dan melacak pengguna. []

Editor: Yuswardi A. Suud