Schrijver van Secret-berichten toch te achterhalen

Onderzoekers hebben een manier gevonden om te achterhalen wie bepaalde geheimen in de Secret-app heeft gepubliceerd. De truc werkt met een serie nepaccounts.

secret app geheimDe berichten in de Secret-app zijn toch niet helemaal geheim. Het blijkt mogelijk om met een aanval alle berichten van een bepaalde persoon te achterhalen. Onderzoekers van Rhino Security maakten een aantal nepaccounts aan, die allemaal gekoppeld waren aan dezelfde persoon. Vervolgens bleek het mogelijk om alle berichten van een echt vriendenaccount te achterhalen en die te koppelen aan een bepaalde naam.


Toch is er niet meteen reden tot ongerustheid, want de aanvalsmethode blijkt in de securitywereld al langer bekend. Het maakt gebruik van een zwakheid in de manier waarop Secret ontworpen is. De app garandeert anonimiteit door te zorgen dat je eerst een handjevol vrienden moet toevoegen, zodat je niet weet wie van die vriendgroep het bericht heeft gepubliceerd. Maar stel dat je maar één echte vriend toevoegt en de rest aanvult met nepaccounts? De nietsvermoedende vriend gaat allerlei berichtjes posten en jij weet zeker van wie de berichten afkomstig zijn – van die ene vriend, niet van de nepaccounts.

Secret heeft wel bescherming tegen bots ingebouwd, maar de afgelopen weken blijkt die bescherming om één of andere reden minder goed te werken. Rhino koos echter voor een andere truc: de nepaccounts, die nooit een geheim publiceren maar zich wel voordoen als ‘normale’ vrienden. Secret kan daar weinig tegen doen. Ze beloven trouwens ook niet dat de berichten totaal veilig zijn, maar bieden slechts een vorm van anonimiteit. Helemaal anoniem zou ook een loze belofte zijn, want uit de berichten zelf zijn soms al aanwijzingen af te leiden: wie klaagt over werkdruk, heeft een baan, zodat je alle vrienden die nog studeren of werkeloos zijn meteen kunt wegstrepen. Daarmee wordt Secret een soort ‘Wie ben ik?’.

Informatie

Laatst bijgewerkt
22 augustus 2014 om 22:01
Onderwerp
Categorie
Apps

Reacties: 3 reacties

Reacties zijn gesloten voor dit artikel.