25 jul 2017

Vire à esquerda: riscos e vulnerabilidades no uso do Waze

Mobilidade Privacidade

Até pessoas que evitam serviços online têm suas vidas afetadas por eles. Por exemplo, em uma bela manhã você descobre que sua vizinhança calma se tornou uma rodovia movimentada. E a culpada por isso é a navegação por satélite.
Os serviços de navegação por satélite otimizam as rotas de seus usuários considerando engarrafamentos, acidentes e reparos na via. Esses aplicativos recebem dados de serviços municipais e dos próprios usuários.

Talvez o mais conhecido seja o Waze. Adquirido pelo Google em 2013, o Waze serve como exemplo perfeito de como serviços online podem afetar a vida real. Ao mesmo tempo que facilitam a vida dos usuários, podem também resultar em problemas de segurança e privacidade.

Por exemplo, de modo a definir a rota mais rápida de A para B, o Waze trouxe tráfego intenso para vias anteriormente tranquilas. O aplicativo redireciona carros, caminhões e até ônibus de excursão turística para ruas calmas e vielas para minimizar os atrasos.

Humanos contra-atacam

Em Maryland, um grupo de vizinhos está tentando subverter o Waze por seus próprios métodos. Na tentativa de tornar sua rua quieta menos atraente ao Waze, moradores passaram a emitir falsos alertas de acidentes para o serviço. Como forma de contornar isso, o app descarta relatórios de acidentes caso a velocidade da média na via não tenha diminuído. Para burlar essa medida, os vizinhos unem forças e enviam vários alertas de acidentes falsos.

Essas táticas funcionam? Não há dados que indicam qualquer resposta. A Wired sugere medidas mais robustas para a diminuição do tráfego local, como a instalação de quebra-molas, troca de cruzamentos por rotatórias, estreitamento de vias, e mais. Esses métodos funcionam, mas não são passíveis de implantação unicamente pela boa vontade de vizinhos.

Desaprovação oficial

Não são apenas moradores locais que estão engajados nessa causa. A polícia também – por conta da função do aplicativo de alertar sobre a presença de blitz. Em 2014, o chefe de polícia de Los Angeles chegou a escrever uma carta ao CEO do Google, Larry Page depois que dois policiais foram baleados por alguém que usou o app para rastrear a localização da dupla.

Outra carta revoltada para Page veio do presidente do Sindicato da Polícia de Nova York, Edward Mullins, que solicitou que o Google removesse a função de alerta específica para polícia, sob ameaças de processo judicial. O Google não cedeu: a função continua lá.

O embate entre a polícia e o Waze trouxe ainda mais atenção para o aplicativo. Organizações voltadas à defesa de direitos civis, como a Fundação da Fronteira Eletrônica se aliaram ao serviço, dando ênfase em tecnologias que a polícia usa e ferem a privacidade da população, como reconhecimento de placas de carro.

Outro uso do Waze é para fugir de blitz e fiscalizações. A polícia de Miami teria submetido falsas localizações de policiais para ocultar sua localização real. Um porta-voz do departamento negou a afirmação, pelo menos oficialmente a prática não recebe apoio.

Controle de danos

A natureza do Waze também propagou a percepção de que o serviço é responsável por certos tipos de incidentes. Em 2015, por exemplo, o app guiou um casal de idosos para uma favela. Eles procuravam pela Avenida Quintino Bocaiúva, em São Francisco; o Waze os levou para a Rua Quintino Bocaiúva, em Caramujo. Eles ficaram presos no meio de um tiroteio, um deles foi baleado e morto.

Para assegurar os usuários nas Olimpíadas Rio 2016, o Waze começou a mostrar notificações quando alguém entrava em uma vizinhança tipicamente suscetível a ocorrência de crimes. (Essa informação provinha de fontes locais anônimas.)

A função de compartilhamento de viagem do Waze pode gerar críticas. Veja o Uber, com o qual o Waze pretende competir. A cobertura da mídia em cima do Uber (desde acidentes comuns a sequestros) enfatiza que se algo der errado a culpa é do motorista.

Carros fantasma

Finalmente, chegamos a nossa preocupação constante: vazamentos, ameaças e vulnerabilidades. O que o Waze tem de tão especial que os cibercriminosos poderiam tirar proveito?  Não estamos falando de hacks no servidor, esses não variam muito de um caso para o outro. Mas que tal carros “fantasmas” no sistema de navegação alimentado por informações de usuários? O Technion – Instituto de Tecnologia de Israel realizou esse experimento em 2014.

Os cientistas criaram bots, que ganharam a confiança do Waze ao aparentar dirigir por lugares, passando na sequência a simular engarrafamentos, os quais eram marcados pelo sistema como legítimos. Os congestionamentos falsos faziam com que o aplicativo planejasse rotas que evitassem a área.

Agora, o cenário possível: hackers usam engarrafamentos inexistentes para desviar o tráfego para uma certa rota, provocando congestionamentos reais.

No outono passado, pesquisadores das Universidades da Califórnia, Santa Bárbara e Tsinghua Pequim, ofereceram outro método para comprometer o Waze. O serviço plota avatares de usuários com outras informações de perfil no mapa. Ao automatizar solicitações para exibição de usuários do Waze, os pesquisadores conseguiram rastrear seus movimentos.

A administração do Waze nega com veemência essas ameaças à privacidade. Usuários podem habilitar o modo invisível e esconder sua localização de outros motoristas. Contudo, os desenvolvedores melhoraram a privacidade retirando o nome de usuários da vista de qualquer um, continuando disponível para amigos.

Depois dessa atualização, os pesquisadores ainda foram capazes de reproduzir o experimento – utilizando não apenas nomes, mas a data de criação de cada perfil como base para o rastreamento. A data tem precisão de segundos e torna a identificação do usuário absoluta. Mais tarde, os desenvolvedores corrigiram o problema.

Fruto da nova função de carona compartilhada do Waze, ressurgiram os rumores a respeito do Google estar desenvolvendo um serviço de taxi automatizado que usará o Waze para escolher a melhor rota.  No presente momento, você pode impor-se às sugestões de rotas do motorista ou do aplicativo, contudo com taxis não tripulados, isso pode deixar de ser verdade. Esperamos que antes de lançar os táxis não-tripulados (se isso for de fato o plano), o Google seja capaz de corrigir às falhas no Waze para assegurar uma experiência segura e confortável.