Exame Logo

Brechas de segurança ameaçam anonimato de usuários no Secret

Hacker encontrou um método relativamente simples de descobrir quem são os autores de cada postagem

EXAME.com (EXAME.com)
DR

Da Redação

Publicado em 23 de agosto de 2014 às 08h51.

São Paulo - O aplicativo Secret foi cercado de polêmicas no Brasil especialmente por garantir anonimato total aos usuários.

Mas, aparentemente, os segredos compartilhados no app podem não ser tão secretos assim: o hacker Ben Caudill relatou à Wired um método relativamente simples de descobrir quem são os autores de cada postagem – e é apenas uma das várias falhas que já foram encontradas no app .

Veja também

Confirmada pela empresa e já corrigida, a falha tirava proveito do conceito de anonimato do próprio Secret. O app tenta “camuflar a identidade de um usuário” aproveitando a multidão de outros clientes, como explica a reportagem do também hacker Kevin Poulsen.

Quem usa o aplicativo já deve saber, mas, ao abri-lo, é preciso dar acesso à lista de contatos antes de conseguir visualizar qualquer segredo (a brecha não afetava usuários que conectavam o app apenas ao Facebook).

E só depois de seguir pelo menos sete amigos, que não são identificados pelo app, você conseguirá ver as postagens anônimas no sistema, segundo o texto. É o mesmo conceito relatado em um blog de humor brasileiro recentemente.

A tática de Caudill envolvia limpar totalmente a agenda de um smartphone e deixar apenas sete e-mails falsos cadastrados nela. Então, caso o hacker quisesse identificar os segredos de alguém, bastaria adicionar o e-mail ou o telefone da pessoa na lista de contatos e fazer login – as únicas postagens que apareceriam marcadas como “Friend” seriam do vigiado.

Mas se a falha foi corrigida, como os segredos do Secret continuam correndo riscos? É simples: a brecha descoberta por Caudill – que é especialista e trabalha na Rhino Security Labs – foi apenas uma das já relatadas no programa de recompensas do app, aberto há seis meses.

De lá para cá, 42 brechas foram encontradas por 34 hackers éticos, e a empresa age rápido para corrigi-las. Mas apesar da eficiência, não dá para ter certeza de que não existem outras vulnerabilidades que podem comprometer o anonimato – e por isso é sempre bom ter certo bom-senso antes de sair contado tudo.

Acompanhe tudo sobre:AndroidAppsApps AndroidApps para iPadApps para iPhoneHackersiPadiPhoneseguranca-digital

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Tecnologia

Mais na Exame