L'applicazione diffuso che solo di recente ha guadagnato popolarità accumulato oltre 18 milione di download combinati sia su negozi online di Apple e Google. La sua legittimità è finito nel mirino con i ricercatori alla scoperta di problemi di privacy critici all'interno dell'applicazione.
Che cosa è Sarahah e come funziona?
La premessa della applicazione è che manda in forma anonima, messaggi contundenti ai propri utenti, che serve come un modo per ricevere “feedback onesto” sia da parte dei dipendenti, amici e altri utenti imparziali, con l'obiettivo di contribuire in modo costruttivo a qualsiasi idee o lo sviluppo individuale si sforzano di raggiungere. L'applicazione è diventato il terzo software libero più scaricato su iOS.
Sarahah è la più recente applicazione di una serie di applicazioni sviluppate in Arabia Saudita. L'ormai defunta “Secret” che ha garantito ai suoi utenti di avere il pieno anonimato, tuttavia, Non è andata giù senza problemi di privacy controverse. Dopo aver lanciato l'applicazione – Segreto, estrae, ottiene e carica tutti i numeri di telefono e indirizzi email per rubrica o contatti directory dell'utente. Tutto questo viene fatto senza la preventiva conoscenza o il consenso dell'utente. Nel caso di Sarahah, la procedura non è tanto radicalmente diverso da segreto. Una volta che l'applicazione è stata scaricata e lanciato, Sarahah chiede ottenere il permesso all'utente di accedere ai propri contatti, non è così, tuttavia, rivela la sua intenzione per quanto riguarda il modo in cui verranno utilizzati i contatti e per cosa. Da qui, i dati vengono caricati su un server completamente non identificato, per sconosciuta alle ragioni degli utenti.
Secondo Zachary Julian, senior security analyst del Vescovo Fox, quando ha installato l'applicazione sul suo Android Galaxy S5 5.1.1, fu in grado di rintracciare l'attività sospette esibito da Sarahah nel caricamento delle informazioni private a server sconosciuti. Egli è stato in grado di concludere le sue osservazioni via utilizzando un BURP Suite, che è un software installato per monitorare e intercettare qualsiasi traffico Internet in entrata e in uscita sul dispositivo è stato montato sulla. Così, il proprietario del dispositivo in grado di monitorare e controllare tutti i dati, dove viene inviato ea chi, essenzialmente avvistare il server non identificato suoi contatti venivano inviati senza il suo permesso. Il metodo utilizzato dall'applicazione nel suo tentativo di ottenere e caricare i contatti degli utenti è lo stesso per i dispositivi Android e iOS simili - spingendo il permesso di accedere ai propri contatti.
Julian era in grado di elaborare i suoi risultati iniziali, quando ha osservato che la domanda sarebbe effettivamente condividere i suoi contatti al server se non è stato utilizzato in un po '. Ha implementato la condivisione dei dati tattiche di Sarahah, utilizzando l'applicazione del Venerdì sera e l'avvio è la Domenica mattina, tempo sufficiente per l'applicazione di aver caricato i suoi contatti con il server non identificato.
Lo sviluppatore di Sarahah, Zain al-Abidin Tawfiq in cambio ha risposto alla notizia affermando su Twitter che la questione sarà guardato più e risolto immediatamente. parlando con L'Intercept, Tawfiq elaborato sui temi affermando che la funzione è stata sviluppata con un unico scopo diverso in mente, principalmente come un modo per “trovare i tuoi amici,"Tuttavia, la funzione Hai alterato a causa di un problema tecnico inaspettato. Il personale incaricato per fissare la questione non aveva presumibilmente stato in grado di risolvere il problema a causa di incomprensioni all'interno della struttura manageriale della società. Ciò nonostante, Tawfiq ha affermato che la loro applicazione non memorizza il contatto degli utenti nel database della società.
Il più grande problema in gioco con applicazioni come Sarahah
Si può sostenere che, con applicazioni come Sarahah, tali questioni sono in abbondanza e tutto l'evento comune. Quello che dovrebbe essere preoccupante non è tanto per i dati di potenziali illegalmente rubato dal dispositivo, piuttosto come è che i dati vanno essere Used- che viene memorizzato da qualche parte a distanza e a tua insaputa, e fuori del vostro controllo. La sicurezza della società è fondamentale per la tutela della privacy. E 'preoccupante tanto per quanto riguarda la natura critica delle informazioni viene recuperato e gestito dalla ditta. I grandi sviluppatori di applicazioni sono stati attaccati prima di causare la perdita di informazioni da riversare nel baratro di Internet da usare per chiunque ma si potrebbe desiderare di. Non essendo in grado di fidarsi della sicurezza della società e tanto meno conoscere lo stato di esso potrebbe essere dannosa e avere conseguenze devastanti sia per gli individui e le loro informazioni private così come le attività di business.
Julian che l'azienda ha volutamente progettato la funzione invece di essere una società negligente equivoco, tanto più che chiede il permesso di accedere ai contatti dell'utente, senza mai accennare a condividere tali informazioni con un server esterno. Da una parte, su dispositivi iOS, certamente non chiede il permesso di accedere ai contatti “visualizzare chi ha un conto in Sarahah,”Mentre d'altra parte, su dispositivi Android, ragioni e le notifiche per l'accesso ai tuoi contatti vengono omessi.
politica sulla privacy di Sarahah delinea in particolare che, se si prevede di utilizzare i dati, si chiede il suo consenso. Tuttavia, questo non può essere utilizzato come giustificazione per l'ottenimento e caricare i tuoi contatti elenco su un server non identificato senza informare l'utente prima. Per lo stesso motivo, su dispositivi iOS, l'applicazione non mostra chi altro sta usando Sarahah anche se pretende di fare così mentre chiedendo il permesso di accedere all'elenco dei contatti dell'utente.
Allo stato attuale, non è ancora chiaro il motivo per cui e come queste informazioni vengono raccolte e utilizzate anche se non menziona in politica sulla privacy di Sarahah che le informazioni ottenute non saranno vendute a terzi senza il consenso dell'utente. Se la società viene pulito per i suoi utenti o non, sarà una questione per il futuro. Fino ad allora avremmo dovuto aspettare e vedere.