sexta-feira, 22 de agosto de 2014

Secret tem brecha que permite identificar mensagens de usuários


Usuários compartilham segredos anonimamente pelo app 'Secret' (Foto: Reprodução/Secret) 
Usuários compartilham segredos anonimamente
pelo app 'Secret'
(Foto: Reprodução/Secret)
 
Ben Caudill e Bryan Seely, dois especialistas em segurança da Rhino Security Labs, descobriram uma maneira de identificar todas as mensagens de uma determinada pessoa no aplicativo Secret, quebrando parcialmente o anonimato dos usuários. O método da dupla foi publicado nesta sexta-feira (22) no blog de segurança digital da revista "Wired". Os desenvolvedores do Secret já estão sabendo do problema.

A brecha não permite saber diretamente quem publicou o que no Secret, mas, a partir de um endereço de e-mail cadastrado no aplicativo, levantar todas as postagens daquele contato. O processo, no entanto, pode ser demorado se feito manualmente.

Para o Secret começar a mostrar "segredos", é preciso que cada usuário tenha pelo menos sete contatos no aplicativo. As postagens desses indivíduos aparecem misturadas, impedindo que os autores de cada mensagem sejam identificados.

O truque dos especialistas consiste em criar seis cadastros falsos, que eles mesmos controlam, e adicionar a vítima como o sétimo usuário. A lista de postagens obtida, portanto, terá apenas os "segredos" da vítima, acabando com o anonimato do aplicativo.

Criar os usuários falsos é simples, pois o Secret não faz verificação de endereço de e-mail, segundo Caudill e Seely. Para agilizar o processo, eles conseguiram criar um pequeno software que automaticamente cria dezenas de cadastros.

Especialistas que descobrem falhas de segurança no aplicativo podem ser recompensados. De acordo com a reportagem da "Wired", 38 pesquisadores já receberam dinheiro por relatarem um total de 42 vulnerabilidades no aplicativo – o que pode assustar quem compartilha "segredos" pelo app.

À "Wired", o diretor-executivo do Secret, David Byttow, disse querer que as pessoas entendam que "anônimo" não significa "não rastreável". "O Secret não é lugar para atividade ilegal, ou para ameaçar com bombas ou compartilhar imagens explícitas. Não dizemos que você estará completamente seguro sempre e ser completamente anônimo", afirmou Byttow. O executivo afirmou que o app busca dar espaço para que as pessoas compartilhem coisas que não cabem, por exemplo, no Facebook.

Caudill, no entanto, entende que o anonimato e o social são conflitantes. "Meio que entendo o que querem fazer. Querem ser o Wikileaks do homem comum. Mas isso não funciona bem assim. Você não pode querer se conectar com todos os seus amigos, ser social, estar em rede, e fazer isso tudo de forma anônima", disse o especialista.

Do G1

Nenhum comentário:

Postar um comentário