Categoria Geral  Noticia Atualizada em 00-00-0000

Secret tem brecha que permite identificar mensagens
Truque usa endere�o de e-mail da v�tima para rastrear seus posts no app. Aplicativo j� corrigiu 42 falhas de seguran�a relatadas por especialistas.
Secret tem brecha que permite identificar mensagens
Foto: g1.globo.com

Ben Caudill e Bryan Seely, dois especialistas em seguran�a da Rhino Security Labs, descobriram uma maneira de identificar todas as mensagens de uma determinada pessoa no aplicativo Secret, quebrando parcialmente o anonimato dos usu�rios. O m�todo da dupla foi publicado nesta sexta-feira (22) no blog de seguran�a digital da revista "Wired". Os desenvolvedores do Secret j� est�o sabendo do problema.
A brecha n�o permite saber diretamente quem publicou o qu� no Secret, mas, a partir de um endere�o de e-mail cadastrado no aplicativo, levantar todas as postagens daquele contato. O processo, no entanto, � feito manualmente e pode ser demorado.
Para o Secret come�ar a mostrar "segredos", � preciso que cada usu�rio tenha pelo menos sete contatos no aplicativo. As postagens desses indiv�duos aparecem misturadas, impedindo que os autores de cada mensagem sejam identificados.
O truque dos especialistas consiste em criar seis cadastros falsos, que eles mesmos controlam, e adicionar a v�tima como o s�timo usu�rio. A lista de postagens obtida, portanto, ter� apenas os "segredos" da v�tima, acabando com o anonimato do aplicativo.

Criar os usu�rios falsos � simples, pois o Secret n�o faz verifica��o de endere�o de e-mail, segundo Caudill e Seely. Para agilizar o processo, eles conseguiram criar um pequeno software que automaticamente cria dezenas de cadastros.
Especialistas que descobrem falhas de seguran�a no aplicativo podem ser recompensados. De acordo com a reportagem da "Wired", 38 pesquisadores j� receberam dinheiro por relatarem um total de 42 vulnerabilidades no aplicativo � o que pode assustar quem compartilha "segredos" pelo app.
� "Wired", o diretor-executivo do Secret, David Byttow, disse querer que as pessoas entendam que "an�nimo" n�o significa "n�o rastre�vel". "O Secret n�o � lugar para atividade ilegal, ou para amea�ar com bombas ou compartilhar imagens expl�citas. N�o dizemos que voc� estar� completamente seguro sempre e ser completamente an�nimo", afirmou Byttow. O executivo afirmou que o app busca dar espa�o para que as pessoas compartilhem coisas que n�o cabem, por exemplo, no Facebook.
Caudill, no entanto, entende que o anonimato e o social s�o conflitantes. "Meio que entendo o que querem fazer. Querem ser o Wikileaks do homem comum. Mas isso n�o funciona bem assim. Voc� n�o pode querer se conectar com todos os seus amigos, ser social, estar em rede, e fazer isso tudo de forma an�nima", disse o especialista.

Fonte: g1.globo.com
 
Por:  Gabrielly Rebolo    |      Imprimir