Sarahah, di nascosto raccoglie dati personali dei suoi utenti
Sarahah in arabo vuol dire “franchezza” o “onestà” ed è il nome di un’app che in pochissimo tempo ha scalato le classifiche dell’App Store e di Google Play in tutto il mondo.
A quanto pare Sarahah, l’app che permette di riceve messaggi anonimi e che ha spopolato questa estate, una volta installata sullo smartphone si appropria delle informazioni contenute nella nostra rubrica e le carica su un server esterno.
Ad accorgersene è stato Zachary Julian, analista per la sicurezza informatica, che ha monitorato le attività dell’app sul proprio telefono Android grazie a un software chiamato BURP Suite che è in grado di registrare tutto il traffico di rete in entrata e uscita dal dispositivo. Dopo aver smascherato il comportamento di Sarahah, Julian ha verificato lo stesso identico procedimento su iOS, con l’unica differenza che qua l’app chiede il permesso di accedere alla rubrica per permetterci di scoprire chi l’ha scaricata tra i nostri contatti.
Lo stesso messaggio appare teoricamente in alcune versioni di Android, ma in altre il consenso non viene neppure chiesto. Il problema è che in nessun caso si fa menzione del fatto che questi dati vengono caricati su un server esterno. Ovviamente tutto ciò non succede se vi limitate a utilizzarla via browser.
A quanto pare inoltre Sarahah si premura di ripetere l’operazione più volte se non la usiamo per un po’ di tempo, così da aggiornare via via il nostro profilo. Il perché lo faccia non è dato saperlo, ma la questione spinosa non è tanto ciò che Sarahah fa con i nostri dati, potrebbero semplicemente essere utilizzati dal server centrale per trovare le persone iscritte con una semplice ricerca o per funzioni che verranno sbloccate in seguito, il problema è l’eventuale sicurezza dei suoi server e la possibilità che vengano violati da qualcuno che poi potrebbe rivendere tutto al miglior offerente.
Considerando quante persone l’hanno scaricata e utilizzata, le stime parlano di più di 10 milioni di download, il rischio per la sicurezza è molto alto e Zain al-Abidin Tawfiq, lo sviluppatore saudita che la creata, farà bene a chiarire presto la situazione. I termini di utilizzo dell’app sono abbastanza chiari sul fatto che i dati raccolti non saranno “venduti, affittati o svelati a terze parti”, ma il rischio per la sicurezza è comunque alto. Inoltre, le sue regole per la privacy dichiarano che l’utente viene avvertito in caso di caricamento dei dati personali su un server esterno, cosa che invece non succede.
Nel frattempo sono già compare in rete le prime truffe che sfruttano la voglia di sapere chi ha inviato i messaggi anonimi. Il sito sarahahexposed.com proclama infatti di poter svelare a chiunque si iscriva nomi e cognomi dei stalker, ammiratori e hater, peccato che in verità sia un raggiro che obbliga l’utente effettuare donazioni, scaricare app o mettere like ad alcune pagine Facebook senza dare nulla in cambio.
Dunque Sarahah è pericolosa per i vostri dati personali? Non del tutto, però non è neanche totalmente sincera e affidabile sull’uso che ne potrebbe fare. A voi la scelta se ne vale la pena pur di divertirsi un po’ a ricevere insulti e complimenti da perfetti sconosciuti. (fonte)
