نوشتههای ناشناس و سری شما در اپلیکیشن Secret، آنچنان که فکر میکنید ناشناس و ایمن نیستند

اپلیکیشن Secret یکی از اپلیکیشنهای محبوب است.(دانلود سیکرت برای آیدوایسها – برای وسایل اندرویدی) در واقع فلسفه ایجاد این اپ و اپهای مشابه دیگر این بود که مردم در فیسبوک یا اینستاگرام و شبکههای اجتماعی دیگر احساس راحتی نمیکردند. آنها حس میکردند که آنچه مینویسند و به اشتراک میگذارند، به شدت از سوی دوستان و دنبالکنندگان آنها مورد نظارت قرار میگیرد. بنابراین کاربران نیاز به محیطی داشتند که سبکبالانه در آن، در مورد چیزهای مختلف اظهار نظر کنند، یا احیانا رازهای زندگی خود را افشا کنند، بدون اینکه متوجه هویت آنها شود.
«کوین پولسون» – نویسنده سایت معتبر wired- چند وقت پیش ملاقاتی با یک هکر «کلاه سفید» به نام «بن کودیل» انجام داد، این هکر کار شگفتآوری انجام داد، ایمیل کوین را گرفت، وارد اپ Secret شد، چند سوایپ انجام داد و بعد به کوین گفت که نوشتههایش در اپ Secret چه بوده است.
کوین انتظار نداشت که به همین سادگی بشود اپ Secret را هک کرد و با دانستن ایمیل هر نفر متوجه رازهایش شد.
خوشبختانه راز آقای کوین، چندان راز خاص و مخربی نبود و به علاوه شانس با او یار بود چرا که «کوین پولسون» یکی از تأسیسکنندگان شرکت امنیتی Rhino Security Labs است. او این رخنه را به مسئولان اپلیکیشن Secret تذکر داد تا بسته شود.
جالب است بدانید که Secret از ماه فوریه برنامهای را پیشنهاد کرد که بر اساس آن هکرها با گزارش رخنههای امنیتی میتوانستند پاداش بگیرند، در این مدت 42 حفره امنیتی توسط 38 هکر کلاه سفید تذکر داده شد.
اما کوین چطور اپلیکیشن Secret را هک کرده بود؟!
نخست باید بدانید که Secret چطور کار میکند.
– هر کاربر نخست باید با وارد کردن ایمیل خود، ثبتنام کند.
– بعد کاربر با دادن اجازه به اپ اجازه میدهد که اپ Secret جستجو کند و ببیند چه افرادی که در لیست تماس یا اکانت فیسبوک او هستند، در سیستم Secret حضور دارند.
– او باید دستکم 7 نفر از آنها را دنبال کند.
– تنها در این صورت که اپ، شروع میکند به نمایش پستهای مخفی کاربران دیگر.
– توجه داشته باشید که در هنگام نمایش پستهای محرمانه دیگران، هیچگاه نمیتوانید بفهمید که کدام پست را چه کسی نوشته است.
اما هک کردن اپ Secret با استفاده از همین اطلاعات بالا ممکن است (یعنی در واقع ممکن بود!)
– شما کافی بود که تعدادی اکانت قلابی درست میکردید، این کار را میتوانید دستی یا با باتها انجام بدهید.
– بعد دقیقا در هنگام ثبتنام و استفاده از Secret هفت تا از همین اکانتهای قلابی را دنبال کنید.
– در مرحله بعد کافی است که آدرس ایمیل یک فرد نگونبخت را بدانید و به عنوان هشتمین نفر، دنبالش کنید.
– حالا با نگاهی به اعترافات ظاهرا سری در حساب Secret خودتان میتوانید بفهمید که اعتراف شخص مورد نظر چه بوده است. (چون همه اعترافات دیگری که میبینید اعترافات کذایی حسابهای جعلی بوده که خودتان درست کردهاید.)
کلا هدف من از نوشتن این پست این بود که متوجه باشید که هنگام استفاده از اپهای مختلفی به این سبک، همه احتیاطهای لازم را رعایت کنید. اصولا در محیط وب، همیشه باید طوری رفتار کنید که انگار دارید در یک محیط عمومی چیزی مینویسید.
ما اپهای مشابهی مثل Whisper – Yik Yak یا اپ مشهور Snapchat را میشناسیم که کاربرد تقریبا مشابهی دارند. خیلی از کاربران اعتماد زیادی مثلا به همین اپ اسنپچت دارند، پیامها و عکسها در اسنپچت موقتی هستند و بعد مدتی خود بخود محو میشوند، اما خب، چه کسی میتواند جلوی اسکرین شات گرفتن کاربران دیگر را بگیرد؟!
به علاوه باید توجه داشته باشید که همیشه در صورت درخواست مقامات قانونی، اطلاعات شما به مراجع مربوطه تحویل داده خواهند شد. تازه باید بدنهاد بودن خود صاحبان اپ، یا امکان هک شدن کل سیستم آنها را در نظر بگیرید!
اما حالا که صحبت از اپهای انتشار مخفی نوشتهها شد، بد نیست با اپ ShareWhere که تازه رونمایی شده، آشنا شوید.
با کمک این اپ میتوانید نوشتههای مخفی کاربران دیگری را که در نزدیکی شما بودهاند را مرور کنید. به عبارتی ShareWhere یک اپ اعتراف مخفی مبتنی بر موقعیت است.
یکی از کاربردهای جالب این اپ، اظهار نظر مخفی در مورد مکانها مثل هتلها، ساختمانهای دیدنی و رستورانها میتواند باشد.
این نوشتهها را هم بخوانید
اصولاً امنیت دیگه در دنیای مجازی تبدیل به جوک شده. هر نرمافزاری هم که با سر و صدای امنیت میاد آلتدست خود حکومتهاست!
یاد حرفای جادی توی یکی از شماره های رادیو گیک افتادم! که توش با مهندسی اجتماعی تونستن کامپیوترای یه بانکو هک کنن.
اینم که از هیچ کدی استفاده نکرده بلکه از هوشش استفاده کرده!
هرچقدر هم که کدهای این نرم افزار از نظر فنی خوب نوشته شده باشن اما الگوریتم اصلی پشتش (انتخاب 7 نفر) واقعا ضعیف به نظر میاد، بالاخره کدها و برنامه ها هم ساخته دست بشرن :)
(یک مقدار بی ربط)
آقای مجیدی لطفا اپ TextSecure در سایت زیر
https://whispersystems.org
رو معرفی کنید
دو طرف مکالمه میتونن در صورت نصب این اپ در شبکه مخابرات خودمون پیام بفرستن در صورتی که پیامکی که ردوبدل میشه به صورت رمز شدست این موضوع رو وقتی یکی از طرفین هنوز کلید طرف مقابل رو ایمپورت نکرده قابل مشاهدست
پیام ها شبیه این میشن :
asdsdwewqASDWQaQzsAQ
بعد که پیام وارد گوشی فرد میشه از رمز توسط این اپ خارج میشه و قابل خوندن
تاریخچه این اپ رو میتونید اینجا بخونید :
http://en.wikipedia.org/wiki/TextSecure
یک مقدار ریز کاری داره ولی ارزشش رو واقعا داره که معرفی میشه توسط ادوارد اسنودن هم پیشنهاد شده و همچنین Matthew Green
In his keynote speech at SXSW 2014, NSA leaker Edward Snowden praised Open WhisperSystems’ applications for their ease-of-use.[23][24]
http://blog.cryptographyengineering.com/2014/08/whats-matter-with-pgp.html
http://thehackernews.com/2014/08/cryptography-expert-pgp-encryption-is_19.html