Идея, лежащая в основе Секрет в том, что вы можете поделиться чем угодно со своим кругом общения с комфортом полной анонимности. Личность пользователей хранится в секрете, и это должно сделать приложение приятным или что-то еще.
Оказывается, не так уж и сложно увидеть, кто на самом деле находится в секрете. Загвоздка в том, что вам нужен их адрес электронной почты.
Проводной говорил с хакером в белой шляпе по имени Бен Кодилл, который взломал видимость анонимности Secret с помощью простого спуфинга контактов на своем iPhone.
Принцип работы Secret заключается в том, что вы даете ему доступ к своему списку контактов или учетной записи Facebook, чтобы найти других людей, которых вы знаете, используя приложение. Затем их сообщения анонимно собираются в приложении. Для взлома Кодилл использовал привязку контактов для использования Secret.
Первым шагом Кодилла было создание группы поддельных секретных аккаунтов. Это просто, потому что Secret не требует от вас подтверждения адреса электронной почты или номера телефона. Кодилл написал простой сценарий для быстрого создания пула из 50 учетных записей для своих экспериментов, но ему потребовалось всего семь, чтобы достичь порога секретности секрета.
Затем он удалил все из списка контактов своего iPhone и добавил семь поддельных адресов электронной почты в качестве контактов. Когда он закончил, он добавил еще один контакт: адрес электронной почты человека, чьи секреты он хотел раскрыть, - меня.
Затем он зарегистрировал еще одну новую секретную учетную запись и синхронизировал свои контакты. Теперь у него был новый пустой секретный канал, который отслеживал восемь учетных записей: семь учетных записей ботов, созданных и контролируемых им, и моя. Все, что было опубликовано «другом», логически принадлежало мне.
Единственный способ для его взлома сработать - это если у вас есть адрес электронной почты человека, но это не составит труда, если он будет в ваших контактах с самого начала.
Кодилл уже изменил секрет взлома, так что ожидайте исправления ошибки в ближайшем будущем. Секрет сказал что он выпускает обновление с поиском изображений Flickr, опросами и другими изменениями конфиденциальности.
Как ни странно, бразильский суд недавно заставил Apple удалите Secret из App Store там потому что анонимность в стране незаконна. После этого взлома, возможно, Бразилии следует пересмотреть свое решение.
