Usuários compartilham segredos anonimamente
pelo app 'Secret' (Foto: Reprodução/Secret)
pelo app 'Secret' (Foto: Reprodução/Secret)
Ben Caudill e Bryan Seely, dois especialistas em segurança da Rhino
Security Labs, descobriram uma maneira de identificar todas as mensagens
de uma determinada pessoa no aplicativo Secret, quebrando parcialmente o
anonimato dos usuários. O método da dupla foi publicado nesta
sexta-feira (22) no blog de segurança digital da revista "Wired". Os
desenvolvedores do Secret já estão sabendo do problema.
A brecha não permite saber diretamente quem publicou o que no Secret,
mas, a partir de um endereço de e-mail cadastrado no aplicativo,
levantar todas as postagens daquele contato. O processo, no entanto,
pode ser demorado se feito manualmente.
Para o Secret começar a mostrar "segredos", é preciso que cada usuário
tenha pelo menos sete contatos no aplicativo. As postagens desses
indivíduos aparecem misturadas, impedindo que os autores de cada
mensagem sejam identificados.
O truque dos especialistas consiste em criar seis cadastros falsos, que
eles mesmos controlam, e adicionar a vítima como o sétimo usuário. A
lista de postagens obtida, portanto, terá apenas os "segredos" da
vítima, acabando com o anonimato do aplicativo.
Criar os usuários falsos é simples, pois o Secret não faz verificação
de endereço de e-mail, segundo Caudill e Seely. Para agilizar o
processo, eles conseguiram criar um pequeno software que automaticamente
cria dezenas de cadastros.
Especialistas que descobrem falhas de segurança no aplicativo podem ser
recompensados. De acordo com a reportagem da "Wired", 38 pesquisadores
já receberam dinheiro por relatarem um total de 42 vulnerabilidades no
aplicativo – o que pode assustar quem compartilha "segredos" pelo app.
À "Wired", o diretor-executivo do Secret, David Byttow, disse querer
que as pessoas entendam que "anônimo" não significa "não rastreável". "O
Secret não é lugar para atividade ilegal, ou para ameaçar com bombas ou
compartilhar imagens explícitas. Não dizemos que você estará
completamente seguro sempre e ser completamente anônimo", afirmou
Byttow. O executivo afirmou que o app busca dar espaço para que as
pessoas compartilhem coisas que não cabem, por exemplo, no Facebook.
Caudill, no entanto, entende que o anonimato e o social são
conflitantes. "Meio que entendo o que querem fazer. Querem ser o
Wikileaks do homem comum. Mas isso não funciona bem assim. Você não pode
querer se conectar com todos os seus amigos, ser social, estar em rede,
e fazer isso tudo de forma anônima", disse o especialista.
Do G1
Nenhum comentário:
Postar um comentário