L'application largement utilisé qui a récemment gagné en popularité amassé plus 18 millions de téléchargements combinés à la fois sur les magasins Apple et Google en ligne. Sa légitimité est sous le feu avec des chercheurs de découvrir des problèmes cruciaux de dans l'application.
Qu'est-ce que Sarahah et comment est-elle fonction?
Le principe de l'application est qu'elle envoie anonymisées, messages émoussées à ses utilisateurs, servir comme un moyen de recevoir « rétroaction honnête » à la fois des employés, amis et d'autres utilisateurs impartiaux dans le but de contribuer de manière constructive à toutes les idées ou le développement individuel vous efforcez de réaliser. L'application est devenue le troisième logiciel libre le plus téléchargé sur iOS.
Sarahah est l'application la plus récente d'une série d'applications développées en Arabie Saoudite. Le « secret » défunte qui a assuré à ses utilisateurs d'avoir l'anonymat complet, cependant, ne descendis sans aucun problème de confidentialité controversées. Après le lancement de l'application – Secret, il extrait, obtient et télécharger toutes les numéros de téléphone et adresses e-mail pour l'annuaire téléphonique ou le répertoire des contacts de l'utilisateur. Tout cela se fait sans la connaissance préalable ou le consentement de l'utilisateur. Dans le cas de Sarahah, la procédure est pas tellement radicalement différent de Secret. Une fois que l'application a été téléchargée et lancée, Sarahah demande d'obtenir l'autorisation de l'utilisateur d'accéder à leurs contacts, ce ne est pas, cependant, révéler son intention en ce qui concerne la façon dont les contacts seront utilisés et ce pour. D'où, les données sont téléchargées vers un serveur entièrement non identifié, pour des raisons inconnues des utilisateurs.
Selon Zachary Julian, analyste principal de la sécurité de l'évêque Fox, quand il a installé l'application sur son Galaxy S5 Android 5.1.1, il a été en mesure de retracer l'activité suspecte présentée par Sarahah dans le téléchargement des informations privées sur des serveurs inconnus. Il a pu conclure ses observations via l'aide d'une suite BURP, qui est un logiciel installé pour surveiller et intercepter tout le trafic Internet entrant et sortant sur l'appareil, il a été monté sur. Ainsi, le propriétaire de l'appareil peut suivre et surveiller les données, où il est envoyé et à qui, repérer essentiellement le serveur non identifié ses contacts ont été envoyés à sans son autorisation. La méthode utilisée par l'application dans sa tentative d'obtenir et de télécharger les contacts des utilisateurs est le même pour les appareils Android et iOS aussi bien - incitant l'autorisation d'accéder à leurs contacts.
Julian a pu élaborer ses premières conclusions quand il a observé que l'application serait en fait partager ses contacts au serveur si elle n'a pas été utilisé dans un certain temps. Il a mis en œuvre le partage des données tactiques de Sarahah, en utilisant l'application le vendredi soir et initialisant le dimanche matin, suffisamment de temps pour l'application d'avoir téléchargé ses contacts sur le serveur non identifié.
Le développeur de Sarahah, Zain al-Abidin Tawfiq en retour a répondu aux nouvelles en affirmant sur Twitter que la question sera examinée plus et fixé immédiatement. en parlant avec le Intercept, Tawfiq élaboré sur les questions en déclarant que la fonctionnalité a été développée dans un but tout à fait différent à l'esprit, principalement comme un moyen de « trouver vos amis,"Mais, la fonction se est modifiée en raison d'un problème technique inattendu. Le personnel chargé de la résolution du problème qu'il avait prétendument pas été en mesure de corriger en raison de malentendus au sein de la structure de gestion de l'entreprise. Cependant, Tawfiq a affirmé que leur application ne stocke pas de contacts des utilisateurs dans la base de données de l'entreprise.
Le plus grand enjeu avec des applications comme Sarahah
On peut soutenir que des applications comme Sarahah, ces questions sont en abondance et tout à fait l'apparition commune. Ce qui devrait être inquiétant est pas tant de données potentielles illégalement volé de votre appareil, plutôt comment est que les données vont être utilisé- qui est stocké quelque part à distance et à l'insu de vous, et en dehors de votre contrôle. La sécurité de l'entreprise est essentielle à la protection de la vie privée. Il est inquiétant tant à la nature critique des informations récupérées et traitées étant par la firme. Les grands développeurs d'applications ont été piraté avant de provoquer des fuites d'informations à verser dans l'abîme de l'Internet pour tout le monde à utiliser mais ils voudront peut-être. Ne pas être capable de faire confiance à la sécurité de l'entreprise et encore moins connaître l'état de celui-ci pourrait être préjudiciable et avoir des conséquences dévastatrices tant pour les individus et leurs informations privées ainsi que des actifs d'affaires.
Julian que la société a délibérément conçu la fonctionnalité plutôt que ce soit une entreprise insouciante malentendu, d'autant plus parce qu'il demande l'autorisation d'accéder aux contacts de l'utilisateur, sans jamais faire allusion à partager cette information avec un serveur externe. D'un côté, sur les appareils iOS, il certainement demander la permission d'accéder à vos contacts « pour vous montrer qui a un compte en Sarahah,», Tandis que d'autre part, sur les appareils Android, raisons et les notifications pour accéder à vos contacts sont omis.
La politique de confidentialité de Sarahah décrit expressément que si elle prévoit d'utiliser vos données, il vous demandera votre consentement. Cependant, cela ne peut pas être utilisé pour justifier l'obtention et le téléchargement de votre liste de contacts sur un serveur non identifié sans en avertir l'utilisateur d'abord. Par la même occasion, sur les appareils iOS, l'application affiche jamais qui d'autre utilise Sarahah bien qu'il prétend faire en demandant l'autorisation d'accéder à la liste des contacts de l'utilisateur.
À l'heure actuelle, il est encore difficile de savoir pourquoi et comment ces informations sont collectées et utilisées bien qu'il ne mentionne dans la politique de confidentialité de Sarahah que toute information obtenue ne sera pas vendue à des tiers sans le consentement de l'utilisateur. Que la société est propre à ses utilisateurs ou non, ce sera une question pour l'avenir. Jusque-là, nous devrions attendre et voir.
