Sarahah è una nuova applicazione che consente alle persone di registrarsi per ricevere messaggi anonimi. Oltre 18 milioni di persone hanno scaricato l’applicazione su Appple Store e Play Store, rendendolo così una delle app più scaricate.
Come annunciato prima, l’app ha lo scopo di far ricevere feedback da parte di amici e sconosciuti. Ma, attraverso rumor, si è venuti a conoscenza che l’applicazione svolge altri ruoli. Quando viene lanciata per la prima volta sul proprio dispositivo, raccoglie immediatamente tutti i numeri di telefono e gli indirizzi di posta elettronica salvati nella rubrica. Anche Sarahah in alcuni casi chieda l’autorizzazione di accedere ai contatti, non avvisa tale caricamento di dati.
Zachary Julian, analista di sicurezza senior di Bishop Fox, ha scoperto il caricamento di informazioni private da parte di Sarahah quando ha installato l’applicazione sul suo telefono Android, tutto questo è stato rilevato su un Galaxy S5 che esegue Android 5.1.1. Il telefono è stato dotato di un software di monitoraggio noto come BURP Suite, che intercetta il traffico internet in entrata ed in uscita del dispositivo, consentendo al proprietario di vedere quali dati vengono inviati ai server remoti.
Quando Julian ha lanciato per la prima volta Sarahah sul dispositivo, BURP Suite ha rivelato che l’applicazione stava caricando i propri dati personali sul suo server. inoltre Julian ha anche effettuato dei test che potete vedere qui di seguito:
Sarahah non ha risposto inizialmente alle richieste per una spiegazione di tale funzione.Successivamente il creatore dell’applicazione, Zain al-Abidin Tawfiq, ha spiegato che la funzione dei contatti sarebbe stata rimossa in un futuro aggiornamento ed era stata destinata alla funzione “trovare i tuoi amici”. È stata lasciata non finita per “problemi tecnici” a causa di una persona che ha smesso di lavorare allo sviluppo, avrebbe dovuto rimuoverlo dall’app. Dice che la funzionalità è stata comunque rimossa dal server e che Sarahah non memorizza alcun contatto.
Drew Porter, fondatore della società di sicurezza Red Mesa, ha affermato che questo tipo di comportamento è più comune di quello che la maggior parte degli utenti si aspetterebbe, specialmente quando un’applicazione è libera come Sarahah.
Non è del tutto chiaro se Sarahah utilizza elenchi di contatti caricati, anche se la politica sulla privacy dell’applicazione precisa che non venderà le informazioni a terzi senza il consenso scritto e preventivo, a meno che non fa parte dei dati di massa utilizzati per statistiche e ricerca.