O Secret talvez seja o aplicativo mais badalado dos últimos dias. Lançado no Brasil em maio, ganhou força nas últimas semanas e, após diversas denúncias de cyberbulling, virou alvo de investigação da Polícia Civil do Rio e de ação do Ministério Público do Espírito Santo, que conseguiu a retirada do programa da loja virtual da Apple. Agora, um hacker americano descobriu o que todos os usuários temiam: é possível descobrir a autoria de postagens anônimas.
Bryan Seely, pesquisador da Rhino Security que ficou conhecido no início do ano por criar um método no Google Maps que permitia interceptar ligações para o FBI, montou um hack de engenharia social que tira proveito de uma característica do aplicativo: os níveis de conexão. As publicações recebidas pelo usuário são feitas por um “amigo” ou por “amigo de um amigo” e Seely usou essa identificação para criar uma brecha.
— Nós mostramos a David Byttow (cofundador e diretor executivo do Secret) uma foto que ele publicou no Secret. Ele nos perguntou se estávamos submetendo um alerta de bug — disse Seely, ao site Cnet. — Ele estava preocupado que fosse uma chantagem.
Nos ataques de engenharia social, os hackers se aproveitam do comportamento humano e das possibilidades do sistema, em vez de criar códigos maliciosos que dão acesso às máquinas. No caso do Secret, Seely criou um pequeno exército de contas falsas que eram “amigas” apenas entre elas, para que parecessem reais, sendo que cada uma tinha apenas um amigo real, o alvo do ataque. Qualquer publicação que a conta recebesse, seria de autoria do alvo.
No início, Byttow estava cético e demorou a acreditar na história. Contudo, conta Seely, o envio de da imagem tirou qualquer dúvida sobre a veracidade da falha. Byttow, por sua vez, declarou apreço pelo trabalho de pesquisadores independentes.
— Eu adoro que existam pessoas espertas e intrépidas por aí que se preocupam e tentam derrotar sistemas seguros — disse o cofundador do Secret.
Sem dar detalhes, Bytton afirmou que a técnica foi descoberta em maio, mas não explicou o motivo de ela ter ficado tanto tempo sem uma correção. Após o contato de Seely, o aplicativo encontrou uma forma de barra a tática, mas Bytton não explicou como.
— Seely não tinha acesso a nenhuma identificação — disse Byttow. — Ele podia apenas inferir que uma nova postagem estava sendo feita por um único contato.
BLOG BRASILEIRO CRIOU TUTORIAL
O blog brasileiro Não Salvo havia divulgado a técnica no dia 17 de agosto. “Uma pessoa que nesses canais totalize 1000 amigos. Seria difícil saber de quem é um tal segredo que você ficou curioso. Uma pessoa com 100 amigos. Seria mais fácil, mas mesmo assim são várias possibilidades. E aí pensamos o óbvio. E se essa pessoa tivesse só 1 amigo? Desse jeito o app não teria muito pra onde correr e só os segredos dessa pessoas iriam aparecer”, escreveu.
O Secret afirma que o bug foi corrigido e, segundo Seely, possivelmente o aplicativo criou uma fórmula para impedir que novas contas adicionem um mesmo contato em um determinado período de tempo.
Se algum curioso quiser testar, um tutorial está disponível no blog Não Salvo.
O Globo
Comente aqui