Waze vás sleduje

Waze začínal jako otevřený projekt s ambiciózním cílem – pomocí dat od samotných řidičů vytvořit nejpřesnější navigaci na světě. Dnes má aplikace desítky milionů uživatelů, kteří dobrovolně sdílejí své polohy, reportují nehody a dopravní zácpy. Co však mnozí nevědí: právě tento model z Waze vytvořil jeden z nejrozsáhlejších sledovacích systémů současnosti.

První vážné problémy odhalil v roce 2019 bezpečnostní výzkumník Peter Gasper, který objevil kritické zranitelnosti v API aplikace Waze. Gasper prokázal, že pomocí webového rozhraní Waze dokázal získat GPS souřadnice okolních řidičů včetně jejich unikátních identifikačních čísel, která se v čase neměnila. Tím bylo možné konkrétní uživatele sledovat v reálném čase po celé délce jejich cesty. Ještě horší bylo zjištění, že pokud uživatel potvrdil nějakou překážku na silnici nebo hlídku policie, API vrátilo nejen jeho ID, ale i uživatelské jméno. Google zranitelnost opravil a vyplatil výzkumníkovi odměnu 1 337 dolarů.

V únoru 2025 vyšlo najevo ještě závažnější bezpečnostní riziko. Izraelský bezpečnostní expert Amitay Dan upozornil, že Waze odhaluje přesné polohy vojenských základen IDF, strategických objektů, a dokonce i trasy vojenských hlídek. „Jedná se o nejsmrtelnější systém masového sběru zpravodajských dat v Izraeli,“ uvedl Dan pro izraelský Calcalist. Problém spočívá v tom, že vojáci používají Waze na hlídkách nebo cestách na základnu. Editoři map, kterými se může stát prakticky kdokoli po registraci, tyto trasy vidí a mohou je označit. Ještě nebezpečnější je skutečnost, že všechna surová data o pohybu uživatelů jsou dostupná přes editovací platformu Waze.

Únor 2025 přinesl další alarmující zprávu – na dark webu se objevilo na prodej 7,687 milionů uživatelských záznamů z Waze, včetně uživatelských jmen, jedinečných ID a GPS poloh v reálném čase. Kombinace GPS dat s osobními identifikátory vytváří nebezpečný potenciál pro stalking.

Světová soutěž v etickém hackingu Pwn2Own Automotive 2026, která se konala od 21. do 23. ledna v Tokiu, přinesla alarmující zjištění o bezpečnosti moderních automobilových technologií. Již první den soutěže bezpečnostní výzkumníci demonstrovali celkem 37 dosud neznámých zranitelností (zero-day) a odnesli si za to odměny v celkové výši 516 500 dolarů. Hlavní pozornost médií i odborné veřejnosti se přitom soustředila na úspěšný útok proti infotainment systému vozů Tesla.

Francouzský bezpečnostní tým Synacktiv se stal hlavním hrdinou prvního dne soutěže, když se mu podařilo získat plný root přístup do infotainment systému Tesla pomocí útoku založeného na USB rozhraní. Výzkumníci zřetězili dvě kritické zranitelnosti – únik informací (information leak) a chybu typu out-of-bounds write, která umožňuje zápis dat mimo vyhrazenou paměťovou oblast. Tato kombinace exploitů poskytla útočníkům kompletní kontrolu nad systémem.

Technická náročnost útoku na infotainment systém Tesla spočívala v pečlivé přípravě a precizním zřetězení exploitů. Útok byl navržen tak, aby mohl být proveden prostřednictvím běžného USB rozhraní, které řidiči využívají každý den pro připojení svých zařízení. To činí tento útok obzvláště nebezpečným, protože v reálném scénáři by mohl být využit například prostřednictvím infikovaného USB flash disku.

Tesla však nebyla jediným cílem bezpečnostních výzkumníků na letošním Pwn2Own Automotive. Významná pozornost byla věnována také infrastruktuře pro nabíjení elektromobilů.

Tým Fuzzware.io, který se nakonec stal celkovým vítězem soutěže s celkovou odměnou 215 000 dolarů, demonstroval zranitelnosti v nabíjecích stanicích Alpitronic HYC50, Autel a v navigačním přijímači Kenwood DNR1007XR. Další týmy, včetně PetoWorks a DDOS, úspěšně kompromitovaly nabíječky od výrobců Phoenix Contact, ChargePoint a Grizzl-E.

Výzkumníci ze společnosti Check Point Research odhalili pokročilý linuxový malware s názvem VoidLink, jehož 88 000 řádků kódu vytvořila AI.

Framework rozpoznává hlavní cloudové platformy včetně AWS, Google Cloud, Microsoft Azure, Alibaba a Tencent Cloud a dokáže adaptovat své chování, pokud detekuje, že běží uvnitř Docker kontejneru nebo Kubernetes podu.

Malware disponuje více než 30 modulárními pluginy pokrývajícími široké spektrum funkcí – od průzkumu a sběru přihlašovacích údajů přes laterální pohyb až po anti-forenzní nástroje a rootkit schopnosti. Díky své architektuře inspirované Cobalt Strike Beacon představuje VoidLink výrazně sofistikovanější hrozbu než typický linuxový malware.

Původ VoidLinku v umělé inteligenci by mohl zůstat utajen, nebýt chyb v operační bezpečnosti jeho tvůrce. Výzkumníci objevili vývojové artefakty, které jasně ukazují na AI-řízený vývoj. Mezi klíčové indikátory patřilo systematické formátování debug výstupů, použití zástupných dat typických pro příklady z tréninku jazykových modelů a uniformní verzování API. Útočník navíc omylem zpřístupnil interní plánovací dokumenty napsané v čínštině, které nesly všechny charakteristiky výstupu velkého jazykového modelu.

Společnost Fortinet čelí vážné bezpečnostní situaci poté, co vyšlo najevo, že kritická zranitelnost CVE-2025-59718 v systému FortiCloud SSO nebyla plně opravena. Útočníci aktivně zneužívají tuto chybu k pronikání do plně aktualizovaných firewallů FortiGate.

Situace eskalovala v polovině ledna 2026, kdy administrátoři po celém světě začali hlásit neautorizované přístupy k jejich zařízením FortiGate. Společnost Arctic Wolf upozornila, že kampaň započala 15. ledna a útočníci během několika sekund vytvářejí účty s přístupem k VPN a kradou konfigurace firewallů. Tyto útoky nesou výrazné známky automatizace.

Zranitelnost CVE-2025-59718, která byla původně zveřejněna začátkem prosince 2025 s kritickým skóre CVSS 9.1 a o které jsme vás informovali v jednom z předchozích Security Sunday, spočívá v nesprávném ověřování kryptografických podpisů. Tato chyba umožňuje vzdáleným útočníkům obejít autentizaci prostřednictvím FortiCloud Single Sign-On a získat administrátorská oprávnění. Problém se týká produktů FortiOS, FortiProxy a FortiSASE. Přestože společnost Fortinet vydala záplaty, ukazuje se, že útočníci nalezli způsob, jak tyto opravy obejít.

Carl Windsor, ředitel informační bezpečnosti společnosti Fortinet, potvrdil, že byly identifikovány případy, kdy k exploitaci došlo na zařízeních s nejnovější verzí firmwaru. Společnost nyní pracuje na kompletní opravě zranitelnosti a upozorňuje, že problém se netýká pouze FortiCloud SSO, ale všech implementací SAML SSO.