Sarahah carregando agenda inteira de contatos para seus servidores: Relatório

Sarahah, o popular aplicativo de mensagens anônimas, descobriu e carrega todos os endereços de e-mail e números de telefone na lista de endereços de um usuário. Para quem ama o aplicativo, essa não será uma boa notícia.

Sararah, Sararah contact access, Sararah messaging, Sarahah website, Sarahah App Store, Sarahah App security risk, Sarahah consent, data privacy, política de privacidadeO aplicativo Sarahah está enviando toda a sua agenda de contatos para o servidor e isso não é uma boa notícia para a privacidade.

Sarahah, o popular aplicativo de mensagens anônimas, carrega secretamente todos os endereços de e-mail e números de telefone da lista de endereços para seus servidores, de acordo com um relatório do The Intercept. O relatório está citando Zachary Julian, analista de segurança sênior da Bishop Fox, que fez a descoberta quando instalou o aplicativo Sarahah em seu smartphone. O desenvolvedor do aplicativo também aceitou que esse recurso é verdadeiro.

O aplicativo se projeta para ser um serviço de mensagens honesto onde as pessoas podem deixar comentários construtivos e afirma que não coleta dados do usuário, se você seguir a política de privacidade do aplicativo. No entanto, como o analista revelou, o aplicativo tem feito upload de livros de contato inteiros. De acordo com o relatório, Julian descobriu isso ao instalar o aplicativo no Galaxy S5 (rodando no Android 5.1.1 Lollipop).

O telefone de Julian tem algo chamado BURP Suite, um software que intercepta o tráfego da Internet que entra e sai do dispositivo, e detectou que Sarahah estava enviando seus dados privados. Segundo o pesquisador, o apptransmite todos os contatos de e-mail e telefone armazenados no Android.Curiosamente, Sarahah parece estar fazendo o mesmo no iOS também. O pesquisador também fez um fragmento de vídeo mostrando exatamente como o aplicativo continua a violar a privacidade do usuário. O vídeo está disponível no Vimeo.



Primeiro Sarahah não respondeu a este relatório. Posterior criador do aplicativo, Zain al-Abidin Tawfiq disse que esse recurso, em que o aplicativo carregava todos os detalhes do contato para os servidores, seria removido em uma atualização posterior. Ele também tuitou dizendo que o recurso deveria ajudar em uma atualização futura do aplicativo, que permitiria aos usuários encontrar seus amigos no aplicativo. É difícil de acreditar, já que o aplicativo foi desenvolvido em torno do anonimato e encontrar amigos nele seria contraproducente. Confira seus tweets abaixo

Embora o desenvolvedor insista que este é um problema técnico, que deveria ser removido do aplicativo, ele levanta questões sobre privacidade e como o aplicativo está tratando os dados do usuário. Além disso, o pesquisador mostrou que, se o aplicativo não for usado por algum tempo, ele carrega novamente o contato, então claramente esse é um recurso que era conhecido pelo desenvolvedor.

Sararah, Sararah contact access, Sararah messaging, Sarahah website, Sarahah App Store, Sarahah App security risk, Sarahah consent, data privacy, política de privacidadeA política de privacidade do Sarahah apps afirma que solicitará consentimento quando precisar de dados dos usuários. (Foto do arquivo)

O problema é que a política de privacidade afirma especificamente que, se planeja usar seus dados, Sarahah pedirá permissão. Como o pesquisador aponta, Sarahah deveria ter sido direto desde o início sobre quais dados eles estão acessando, ao invés de pegá-los às escondidas. Para usuários que estão preocupados com sua privacidade no Sarahah, você pode ir ao site Sarahah e remover sua conta do aplicativo. Isso está disponível apenas nas configurações do site e não na versão do aplicativo.