O aplicativo amplamente usado que só recentemente ganhou popularidade acumulou 18 milhões de downloads combinados nas lojas online da Apple e do Google. Sua legitimidade foi criticada com pesquisadores descobrindo problemas críticos de privacidade no aplicativo.
O que é Sarahah e como funciona?
A premissa do aplicativo é que ele envia, mensagens contundentes para seus usuários, servindo como uma forma de receber “feedback honesto” tanto dos funcionários, amigos e outros usuários imparciais com o objetivo de contribuir construtivamente para quaisquer ideias ou desenvolvimento individual que você se esforce para alcançar. O aplicativo se tornou o terceiro software gratuito mais baixado no iOS.
Sarahah é o aplicativo mais recente de uma série de aplicativos desenvolvidos na Arábia Saudita. O agora extinto “Segredo” que garantia aos usuários total anonimato, Contudo, não caiu sem problemas controversos de privacidade. Após iniciar o aplicativo – Segredo, ele extrai, obtém e carrega todos os números de contato e endereços de e-mail da lista telefônica ou diretório de contatos do usuário. Tudo isso é feito sem o prévio conhecimento ou consentimento do usuário. No caso de Sara, o procedimento não é tão radicalmente diferente do segredo. Uma vez que o aplicativo foi baixado e iniciado, Sarahah pede permissão do usuário para acessar seus contatos, isso não, Contudo, revelar sua intenção em relação a como os contatos serão usados e para que. Conseqüentemente, os dados são carregados para um servidor totalmente não identificado, por motivos desconhecidos para o usuário.
De acordo com Zachary Julian, Analista de segurança sênior do Bispo Fox, quando ele instalou o aplicativo em seu Galaxy S5 Android 5.1.1, ele conseguiu rastrear a atividade suspeita exibida por Sarahah no upload de informações privadas para servidores desconhecidos. Ele foi capaz de concluir suas observações usando um BURP Suite, que é um software instalado para monitorar e interceptar qualquer tráfego de entrada e saída da Internet no dispositivo em que foi montado. portanto, o proprietário do dispositivo pode rastrear e monitorar quaisquer dados, para onde é enviado e para quem, essencialmente detectando o servidor não identificado para o qual seus contatos estavam sendo enviados sem sua permissão. O método utilizado pelo aplicativo em sua tentativa de obter e enviar os contatos dos usuários é o mesmo em dispositivos Android e iOS - solicitando permissão para acessar seus contatos.
Julian foi capaz de elaborar suas descobertas iniciais quando observou que o aplicativo realmente compartilharia seus contatos com o servidor se não fosse usado por um tempo. Ele implementou as táticas de compartilhamento de dados do Sarahah, usando o aplicativo na sexta à noite e inicializando no domingo de manhã, tempo suficiente para o aplicativo ter carregado seus contatos para o servidor não identificado.
O desenvolvedor do Sarahah, Zain al-Abidin Tawfiq, em troca, respondeu à notícia afirmando no Twitter que o problema será analisado e corrigido imediatamente.. Falando com A interceptação, Tawfiq elaborou as questões afirmando que o recurso foi desenvolvido com um propósito totalmente diferente em mente, principalmente como uma forma de “encontrar seus amigos," Contudo, o recurso foi alterado devido a um problema técnico inesperado. A equipe responsável por corrigir o problema supostamente não foi capaz de corrigi-lo devido a mal-entendidos dentro da estrutura gerencial da empresa. Não obstante, Tawfiq afirmou que seu aplicativo não armazena o contato dos usuários no banco de dados da empresa.
A questão maior em jogo com aplicativos como Sarahah
Pode-se argumentar que com aplicações como Sarahah, tais problemas são abundantes e bastante comuns. O que deve ser preocupante não é tanto o fato de dados em potencial serem roubados ilegalmente do seu dispositivo, em vez disso, como esses dados serão usados - que estão sendo armazenados em algum lugar remoto e sem o seu conhecimento, e fora do seu controle. A segurança da empresa é fundamental para a proteção da privacidade. Preocupa-se tanto com a natureza crítica das informações que estão sendo recuperadas e tratadas pela empresa. Grandes desenvolvedores de aplicativos foram hackeados antes de causar vazamento de informações no abismo da internet para que todos possam usar como quiserem.. Não poder confiar na segurança da empresa e muito menos saber o estado dela pode ser prejudicial e ter consequências devastadoras tanto para os indivíduos e suas informações privadas quanto para os ativos comerciais.
Julian que a empresa projetou deliberadamente o recurso, em vez de ser um mal-entendido descuidado da empresa, ainda mais porque pede permissão para acessar os contatos do usuário sem nunca sugerir o compartilhamento dessas informações com um servidor externo. Por um lado, em dispositivos iOS, certamente pede permissão para acessar seus contatos “para mostrar quem tem uma conta no Sarahah,” enquanto por outro lado, em dispositivos Android, motivos e notificações para acessar seus contatos são omitidos.
A política de privacidade do Sarahah descreve especificamente que, se planeja usar seus dados, ele vai pedir o seu consentimento. Contudo, isso não pode ser usado como justificativa para obter e carregar sua lista de contatos em um servidor não identificado sem notificar o usuário primeiro. Pela mesma razão, em dispositivos iOS, o aplicativo nunca exibe quem mais está usando o Sarahah, embora afirme fazê-lo ao solicitar permissão para acessar a lista de contatos do usuário.
Como está agora, ainda não está claro por que e como essas informações estão sendo coletadas e utilizadas, embora mencione na política de privacidade do Sarahah que qualquer informação obtida não será vendida a terceiros sem o consentimento do usuário. Se a empresa é clara para seus usuários ou não, será um assunto para o futuro. Até lá teríamos que esperar e ver.
