DATA DA PUBLICAÇÃO 25/08/2014 | Informática
Secret tem brecha que permite identificar mensagens de usuários
Truque usa endereço de e-mail da vítima para rastrear seus posts no app.
Aplicativo já corrigiu 42 falhas de segurança relatadas por especialistas.
Ben Caudill e Bryan Seely, dois especialistas em segurança da Rhino Security Labs, descobriram uma maneira de identificar todas as mensagens de uma determinada pessoa no aplicativo Secret, quebrando parcialmente o anonimato dos usuários. O método da dupla foi publicado nesta sexta-feira (22) no blog de segurança digital da revista "Wired". Os desenvolvedores do Secret já estão sabendo do problema.
A brecha não permite saber diretamente quem publicou o que no Secret, mas, a partir de um endereço de e-mail cadastrado no aplicativo, levantar todas as postagens daquele contato. O processo, no entanto, pode ser demorado se feito manualmente.
Para o Secret começar a mostrar "segredos", é preciso que cada usuário tenha pelo menos sete contatos no aplicativo. As postagens desses indivíduos aparecem misturadas, impedindo que os autores de cada mensagem sejam identificados.
O truque dos especialistas consiste em criar seis cadastros falsos, que eles mesmos controlam, e adicionar a vítima como o sétimo usuário. A lista de postagens obtida, portanto, terá apenas os "segredos" da vítima, acabando com o anonimato do aplicativo.
Criar os usuários falsos é simples, pois o Secret não faz verificação de endereço de e-mail, segundo Caudill e Seely. Para agilizar o processo, eles conseguiram criar um pequeno software que automaticamente cria dezenas de cadastros.
Especialistas que descobrem falhas de segurança no aplicativo podem ser recompensados. De acordo com a reportagem da "Wired", 38 pesquisadores já receberam dinheiro por relatarem um total de 42 vulnerabilidades no aplicativo – o que pode assustar quem compartilha "segredos" pelo app.
À "Wired", o diretor-executivo do Secret, David Byttow, disse querer que as pessoas entendam que "anônimo" não significa "não rastreável". "O Secret não é lugar para atividade ilegal, ou para ameaçar com bombas ou compartilhar imagens explícitas. Não dizemos que você estará completamente seguro sempre e ser completamente anônimo", afirmou Byttow. O executivo afirmou que o app busca dar espaço para que as pessoas compartilhem coisas que não cabem, por exemplo, no Facebook.
Caudill, no entanto, entende que o anonimato e o social são conflitantes. "Meio que entendo o que querem fazer. Querem ser o Wikileaks do homem comum. Mas isso não funciona bem assim. Você não pode querer se conectar com todos os seus amigos, ser social, estar em rede, e fazer isso tudo de forma anônima", disse o especialista.
Aplicativo já corrigiu 42 falhas de segurança relatadas por especialistas.
Ben Caudill e Bryan Seely, dois especialistas em segurança da Rhino Security Labs, descobriram uma maneira de identificar todas as mensagens de uma determinada pessoa no aplicativo Secret, quebrando parcialmente o anonimato dos usuários. O método da dupla foi publicado nesta sexta-feira (22) no blog de segurança digital da revista "Wired". Os desenvolvedores do Secret já estão sabendo do problema.
A brecha não permite saber diretamente quem publicou o que no Secret, mas, a partir de um endereço de e-mail cadastrado no aplicativo, levantar todas as postagens daquele contato. O processo, no entanto, pode ser demorado se feito manualmente.
Para o Secret começar a mostrar "segredos", é preciso que cada usuário tenha pelo menos sete contatos no aplicativo. As postagens desses indivíduos aparecem misturadas, impedindo que os autores de cada mensagem sejam identificados.
O truque dos especialistas consiste em criar seis cadastros falsos, que eles mesmos controlam, e adicionar a vítima como o sétimo usuário. A lista de postagens obtida, portanto, terá apenas os "segredos" da vítima, acabando com o anonimato do aplicativo.
Criar os usuários falsos é simples, pois o Secret não faz verificação de endereço de e-mail, segundo Caudill e Seely. Para agilizar o processo, eles conseguiram criar um pequeno software que automaticamente cria dezenas de cadastros.
Especialistas que descobrem falhas de segurança no aplicativo podem ser recompensados. De acordo com a reportagem da "Wired", 38 pesquisadores já receberam dinheiro por relatarem um total de 42 vulnerabilidades no aplicativo – o que pode assustar quem compartilha "segredos" pelo app.
À "Wired", o diretor-executivo do Secret, David Byttow, disse querer que as pessoas entendam que "anônimo" não significa "não rastreável". "O Secret não é lugar para atividade ilegal, ou para ameaçar com bombas ou compartilhar imagens explícitas. Não dizemos que você estará completamente seguro sempre e ser completamente anônimo", afirmou Byttow. O executivo afirmou que o app busca dar espaço para que as pessoas compartilhem coisas que não cabem, por exemplo, no Facebook.
Caudill, no entanto, entende que o anonimato e o social são conflitantes. "Meio que entendo o que querem fazer. Querem ser o Wikileaks do homem comum. Mas isso não funciona bem assim. Você não pode querer se conectar com todos os seus amigos, ser social, estar em rede, e fazer isso tudo de forma anônima", disse o especialista.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda