Como saber cuales de tus amigos usan Secret

Primero, quiero hacer notar con esta nota que a la gran mayoría de las empresas que manejan usuarios realmente le interesa tu privacidad en lo más mínimo. Adicionalmente a los usuarios tampoco les interesa su propia privacidad y estar en vista pública es algo que parece comúm. La nueva gama de apps “secretas” o con “ botón de auto destruir” son un hechizo perfecto donde los adolescentes y jovenes ven un espacio perfecto para poder expresarse como lo hacen en sus escuelas, universidades o lugares de recreación sin la carga moral o el peso social.

Por otro lado es importante notar que este es UNO, el mas sencillo y estúpido de los errores que apps como Secret (específicamente facebook ). y sirven de ejemplo claro para poder evidenciar la falta de interés de muchas empresas o desarrolladores para el manejo de información.

No es el primer hack que publico anteriormente he reportado varios por ejemplo Cinemex o Candy Crush así como otros que fueron debidamente corregidos o ignorados.

Para poder hackear un app hay que poder entender todas sus partes. Si algo te da la experiencia es la capacidad de contextulizar problemas ya creados y entender como funcionan las cosas. Conozco muchos buenos devs con esta misma capacidad de abstracción y esto solo lo da la experiencia. Al final es lo que te convierte en mejor desarrollador. Las apps en general tienen o suelen tener 2 partes, el código de vista del cliente (frontend, GUI) y el backend (“fierros”, “esqueleto”) que es en lo que yo me especializo. Las apps tienen un problema. La centralización de los datos tiene el costo del transporte de los datos. Estos canales de transporte no son seguros o pueden estar comprometidos. Algo que amé de ir en una universidad con gran infrestructura de redes es ver y poder probar con miles de personas como funciona el transporte. Hoy en día ha mejorado mucho la seguridad pero en tiempos anteriores todo era siemplemente plano y cosas como Firesheep, Cain & Abel, o cualquier sniffing era algo super sencillo de realizar. Me encanta ademas como las mismas instituciones han aprendido a proteger sus propias infrestructuras aunque todavía nos falta mucho. El hacking o cracking tienen como particularidad ser extremadamente complejos, que el puzzle mental que representan suele ser un desafío mental para cualquier interesado y no por el hecho de conseguir beneficio sino por el puzzle en si mismo.

Secret por ejemplo tiene 2 tipos de fallas garrafales : sus fallas y las fallas de sus proveedores. 1 la que explicaré a continuación suele no ser de ellos pero con un poquito de ingenio podrías conseguir básicamente todos los datos que siempre has necesitado y sabrás que la red ya no es tan interesante. Cuando le pones nombres a los post la red pierde todo el sentido y diversión y contextualizarlo es muy sencillo.

Haciendo testing de bugs me encontré con que cuentan con un sitio de recompensas. No te pagan pero ayuda a poder mejorar su servicio. Ahí fue donde subi el reporte de la falla y simplemente no les importó. El mismo CEO dijo que era algo conocido y que no lo arreglarían, pero así es como funciona (y realmente es muy bobo).

0. Facebook cuenta con una URL donde publica quienes de tus amigos usan una misma app que tu esta es (para secret) : https://www.facebook.com/browse/friends_using_app/?app_id=704123222979315

Si ves no hay ningún amigo. Esto esta bien por que en tus settings la app colóca un permiso que evita que aparezcas en sitios que te relacionen con la app que usas ¿Pero esto siempre funciona? La respuesta es que NO y es un problema de facebook por si mismo. Les explico por que y como funciona en bug.

  1. Ve a https://www.secret.ly/me y consigue tu o otro acces token. Conseguir otro es demasiado sencillo. Con que tengas 3 puedes mapear toda tu red de amigos. No pienso decir como conseguirlos sniffeando pero es sumamente sencillo y es un hack aparte. Para conseguir el tuyo solo tienes que ir a ese sitio y buscarlo entre tus solicitudes donde hagas una al login de facebook. Tambien es posible conseguirlo por vía mobile a un terminal.
Image for post
Image for post

Verificalo en https://developers.facebook.com/tools/debug/accesstoken?q=

Image for post
Image for post

2. Ve a https://developers.facebook.com/tools/explorer/ pega el acces y ejecuta /2.1/me/friends?fields=name,installed

Image for post
Image for post

Y listo la lista completa de tus amigos que usan la app. Ahora todo es mas fácil. Otro motivo es hacer cuentas falsas (7 con 7 usuarios y pocos accesos) hacer matches que te aseguren de quien es cada cosa, o como me gusta a mi hacer ingeniería inversa del pointer ala lista de control de acceso dentro de cada Secreto.

** No es necesario conseguir otros acces Tokens con uno solo (el tuyo basta)

Secret si puede arreglar esto, no se por que no lo hacen en verdad es bastante fácil protejerlo aun con el detalle de facebook. No veo por que usan ajax para queries locales a /fb_login por ejemplo.

Facebook ya corrige esto en 2.1 pero después de Abril ahora la condición es :

Some Facebook integrations require approval before public usage.
Before submitting your app for review, please consult our Platform Policy and Review Guidelines.

Para cuando Secret cambio el permiso de amigos no requería una inspección.

https://developers.facebook.com/docs/apps/changelog

Update 1 : Gracias a Issac Contreras encontré la explicación de por que a ciertos usuarios no les funciona y como proteger el acceso a tus datos. Hay usuarios que no tienen accesos a su lista de amgos y Facebook desde el API si los protege pero son los menos.

El setting esta en :

Image for post
Image for post
Image for post
Image for post

Written by

A lot of people seemed surprised that someone interested in computers would also be interested in painting.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store