Hacker descobre como identificar os posts de alguém no Secret
Uma dupla de hackers de Seattle comprovou aos donos do Secret que o aplicativo não é capaz de garantir anonimato aos usuários. O que é preocupante, visto que as pessoas recorrem ao serviço justamente para contar segredos.
Ben Caudill, parceiro de Bryan Seely na pequena empresa de segurança Rhino Security Labs, mostrou à Wired que é bem simples descobrir as postagens de uma pessoa no Secret.
É necessário ter o e-mail do alvo, em primeiro lugar, e entender o funcionamento do Secret: o usuário precisa ter ao menos sete amigos inscritos no serviço para começar a ver segredos alheios. O app descobre esses amigos vasculhando o smartphone em busca de e-mails e telefones de outros usuários. No fim, mesmo que o dono do aparelho tenha 500 amigos, ele nunca saberá de onde vieram os segredos que ele vê, pois estes podem vir de apenas sete pessoas.
Para quebrar essa lógica, Caudill criou sete contas falsas no Secret usando um script (mas isso poderia ser feito manualmente), então ele apagou os contatos de sua lista de contatos e acrescentou as contas falsas no lugar. Por fim, incluiu o e-mail do alvo também.
Ele então criou uma outra conta e adicionou todas aquelas falsas como seus contatos. Assim, sempre que houvesse uma postagem ele saberia que ela veio do alvo, porque os demais contatos da sua lista de amigos eram falsos.
Como se vê, trata-se de uma via de mão única; não é possível descobrir o autor de um segredo a partir do segredo, só o contrário: pelo e-mail, você pega as postagens do indivíduo.
David Byttow, CEO do Secret, confirmou à Wired a existência da vulnerabilidade e disse que ela já foi bloqueada. Ainda é necessário tomar medidas para descobrir se a técnica foi explorada de forma significativa.
Ben Caudill, parceiro de Bryan Seely na pequena empresa de segurança Rhino Security Labs, mostrou à Wired que é bem simples descobrir as postagens de uma pessoa no Secret.
É necessário ter o e-mail do alvo, em primeiro lugar, e entender o funcionamento do Secret: o usuário precisa ter ao menos sete amigos inscritos no serviço para começar a ver segredos alheios. O app descobre esses amigos vasculhando o smartphone em busca de e-mails e telefones de outros usuários. No fim, mesmo que o dono do aparelho tenha 500 amigos, ele nunca saberá de onde vieram os segredos que ele vê, pois estes podem vir de apenas sete pessoas.
Para quebrar essa lógica, Caudill criou sete contas falsas no Secret usando um script (mas isso poderia ser feito manualmente), então ele apagou os contatos de sua lista de contatos e acrescentou as contas falsas no lugar. Por fim, incluiu o e-mail do alvo também.
Ele então criou uma outra conta e adicionou todas aquelas falsas como seus contatos. Assim, sempre que houvesse uma postagem ele saberia que ela veio do alvo, porque os demais contatos da sua lista de amigos eram falsos.
Como se vê, trata-se de uma via de mão única; não é possível descobrir o autor de um segredo a partir do segredo, só o contrário: pelo e-mail, você pega as postagens do indivíduo.
David Byttow, CEO do Secret, confirmou à Wired a existência da vulnerabilidade e disse que ela já foi bloqueada. Ainda é necessário tomar medidas para descobrir se a técnica foi explorada de forma significativa.
Últimas Notícias
Cidades
Capotamento em trecho da rodovia AL-220 deixa um homem morto e duas mulheres feridas, em Jaramataia
Brasil / Mundo
Delegado do DEIC morre após reagir a assalto na Lapa, Zona Oeste de SP
Polícia
Corpo de mulher de 42 anos é encontrado carbonizado na zona rural de Inhapi
Política
Sobe para 36 número de candidatos presos pela PF em 10 estados
Cidades
Secretaria de Segurança Pública e Polícia Militar reforçam policiamento ostensivo em Junqueiro
Vídeos mais vistos
TV JÁ É
Festa termina com jovem morta e dois feridos no Agreste alagoano
TV JÁ É
Homem que conduzia motocicleta pela contramão morre ao ter veículo atingido por carro, em Arapiraca
Geral
Morte em churrascaria de Arapiraca
TV JÁ É
40 anos de Vieira Distribuidor
TV JÁ É