O aplicativo mobile secret tornou-se um fenômeno em todo mundo. Para quem não conhece, o secret é um aplicativo que funciona para Iphone e Android, e que tem como objetivo trocar confidências entre os seus amigos, amigos dos amigos ou quem vc nunca ouviu falar.

Ele preza pelo anonimato daqueles que escrevem ou que comentam algo nele, mas depois de alguns testes e um bate papo com amigos, chegamos a conclusão que isso não é bem assim.

Vejam que o secret solicita que vc associe a sua conta do facebook, para que ele possa convidar novos usuários, e é claro, os seus amigos, aumentando, de forma exponencial, a sua base de usuários. Com isso, toda vez que vc publica um post ou lê um comentário, há uma tag informada logo abaixo dele, que pode ser friend, friend of friend, nome da cidade ou o nome do país o qual foi realizado o post – as tags friend ou friend of friend são baseados nas mesmas tags do face, e é aí que a brincadeira começa.

Sendo assim, pedi ajuda de 3 amigos do face. Eles instalaram o secret em seus smartphones, além disso, me enviaram a lista de amigos em comuns do próprio face, que via média aritmética, deu 53 pessoas em comum entre nós 4

Depois disso, começamos a analisar a gramática das pessoas e as histórias que contavam, para saber se batiam com alguém conhecido. Tudo isso foi anotado em uma planilha e disponibilizada via google docs, para que pudéssemos fazer um rank cada evidência, cada suspeita, aumentando assim a probabilidade de uma mensagem ou conjunto delas pertencer a uma pessoa que conhecemos e sabermos o nome dela.

Para nossa surpresa, fomos capazes de identificar 22 amigos em comum no face em um período de 45 dias de mensagens coletadas. Quero dizer, podemos afirmar, via análise probabilística  que uma determinada mensagem foi escrita por uma pessoa que conhecemos até 85% de precisão, isso graças ao correlacionamento dos dados, via planilha, análise da gramática e um pouco de engenharia social.

Um aviso: os comentários são uma outra história, pois a única forma de darmos um peso a ele, e consequentemente, à uma pessoa, é via engenharia social e análise da gramática, o que torna a análise probabilística bem mais difícil.

Engenharia social + matemática + análise dos dados = hacker hehehe

Informações importantes

Estou revendo as análises e os dados coletados, mas estou certo que o que fizemos apresentou uma margem de erro bem pequena, e que tornou esta pesquisa bem interessante e que motivo a sua divulgação. Sendo assim, cuidado com o que vcs escrevem por aí, principalmente no secret.

O nosso desejo nunca foi expor a vida ou segredo das pessoas, mas provar que nem tudo que aquilo que dizem que é secreto, de fato é.

Atualização: não descobrimos nenhum vulnerabilidade que afete a aplicação, mas sim, a forma com a qual as mensagens são divulgadas.

Alguns usuários do Secret, na verdade, os mais espertos, já imaginavam que isso seria possível, sendo assim, eles começaram a utilizar o aplicativo mudando a forma como escrevem.