最近人気を博したばかりの広く使われているアプリケーションが蓄積されました 18 AppleとGoogleのオンラインストアの両方で合計100万ダウンロード. その正当性は、アプリケーション内の重大なプライバシー問題を発見した研究者によって非難されました.
サラハとは何ですか、それはどのように機能しますか?
アプリケーションの前提は、匿名で送信することです, ユーザーへの鈍いメッセージ, 両方の従業員から「正直なフィードバック」を受け取る方法として機能します, あなたが達成しようとしているアイデアや個人の発展に建設的に貢献することを目的とした友人や他の公平なユーザー. このアプリケーションは、iOSで3番目にダウンロードされた無料ソフトウェアになりました.
Sarahahは、サウジアラビアで開発された一連のアプリケーションの最新のアプリケーションです。. ユーザーが完全な匿名性を持つことを保証した、現在は機能していない「シークレット」, でも, 物議を醸すプライバシーの問題なしにダウンしませんでした. アプリケーションを起動した後 – ひみつ, 抽出します, ユーザーの電話帳または連絡先ディレクトリのすべての連絡先番号と電子メールアドレスを取得してアップロードします. これはすべて、ユーザーの事前の知識や同意なしに行われます。. サラハの場合, 手順はシークレットとそれほど根本的に違いはありません. アプリケーションがダウンロードされて起動されたら, Sarahahは、連絡先にアクセスするためにユーザーから許可を得るように求めています, それはしません, でも, 連絡先がどのように使用され、何のために使用されるかに関する意図を明らかにする. したがって、, データは完全に識別されていないサーバーにアップロードされます, ユーザーの理由がわからないため.
によると ザカリージュリアン, フォックス司教の上級セキュリティアナリスト, 彼がGalaxyS5Androidにアプリケーションをインストールしたとき 5.1.1, 彼は、個人情報を未知のサーバーにアップロードする際にサラハが示した疑わしい活動を追跡することができました。. 彼は、BURPSuiteを使用して観察結果をまとめることができました。, これは、マウントされているデバイス上の着信および発信インターネットトラフィックを監視および傍受するためにインストールされたソフトウェアです。. したがって, デバイスの所有者は、任意のデータを追跡および監視できます, 送信先と送信先, 基本的に、彼の連絡先が彼の許可なしに送信されていた身元不明のサーバーを発見します. ユーザーの連絡先を取得してアップロードするためにアプリケーションが使用する方法は、AndroidデバイスとiOSデバイスで同じであり、連絡先へのアクセス許可を求めます。.
ジュリアンは、アプリケーションがしばらく使用されていない場合、アプリケーションが実際にサーバーと連絡先を共有することを観察したときに、最初の調査結果について詳しく説明することができました。. 彼はサラハのデータ共有戦術を実装しました, 金曜日の夜にアプリを使用し、日曜日の朝に起動します, アプリケーションが連絡先を身元不明のサーバーにアップロードするのに十分な時間.
サラハの開発者, Zain al-Abidin Tawfiqは、その見返りとして、Twitterで問題を調査し、すぐに修正することを主張することでニュースに応えました。. と話す インターセプト, Tawfiqは、この機能はまったく異なる目的を念頭に置いて開発されたと述べて、問題について詳しく説明しました。, 主に「友達を見つける」方法として," でも, 予期しない技術的な問題により、機能が変更されました. 問題の解決を担当したスタッフは、会社の経営構造の誤解により問題を解決できなかったとされている。. それにもかかわらず, Tawfiqは、彼らのアプリケーションはユーザーの連絡先を会社のデータベースに保存しないと主張しました.
サラハのようなアプリケーションで危機に瀕しているより大きな問題
サラハとしてのアプリケーションでは、, そのような問題は豊富にあり、非常に一般的な発生です. 心配すべきことは、潜在的なデータがデバイスから違法に盗まれるということではありません。, むしろ、そのデータはどのように使用されるのでしょうか。つまり、離れた場所に保存されていて、知らないうちに保存されているのです。, そしてあなたのコントロールの外. 会社のセキュリティはプライバシー保護の基本です. それは、会社によって取得および処理される情報の重要な性質に関するものです。. 大規模なアプリケーション開発者は、情報の漏洩がインターネットの深淵に流れ込み、誰もが使用できるようになる前にハッキングされています。. 会社のセキュリティを信頼できないことは、会社の状態が有害であり、個人とその個人情報、およびビジネス資産の両方に壊滅的な結果をもたらす可能性があることを知ることは言うまでもありません。.
不注意な会社の誤解ではなく、会社が意図的に機能を設計したというジュリアン, 外部サーバーとその情報を共有することをほのめかすことなく、ユーザーの連絡先にアクセスする許可を求めるためです。. 一方では, iOSデバイスの場合, それは確かにあなたの連絡先にアクセスする許可を求めます「サラハにアカウントを持っている人をあなたに示すために,」一方、, Androidデバイスの場合, 連絡先にアクセスする理由と通知は省略されています.
Sarahahのプライバシーポリシーでは、データの使用を計画している場合は具体的に概説しています, それはあなたの同意を求めます. でも, これは、最初にユーザーに通知せずに連絡先リストを取得して身元不明のサーバーにアップロードする理由として使用することはできません。. 同様に, iOSデバイスの場合, アプリケーションは、ユーザーの連絡先リストへのアクセス許可を要求しているときにサラハを使用していると主張していますが、他に誰がサラハを使用しているかを表示することはありません。.
現状のまま, サラハのプライバシーポリシーには、取得した情報がユーザーの同意なしに第三者に販売されることはないと記載されていますが、この情報が収集および利用される理由と方法についてはまだ不明です。. 会社がユーザーにクリーンになるかどうか, それは将来の問題になるでしょう. それまで、私たちは待って見なければならないでしょう.