Sarahah ha scaricato sui suoi server le rubriche dei cellulari su cui è stata installata

“Sarahah”, la app virale che consente alle persone che si fingono tue amiche di scriverti messaggi anonimi per dire cosa davvero pensano di te, si impadronisce delle informazioni e delle rubriche degli utenti che la installano sul loro smartphone. L’applicazione, scaricata più di 18 milioni di volte tra iOS e Android, al primo avvio (ma anche successivamente) registra e trasmette tutti i numeri telefonici e tutti gli indirizzi email presenti nella rubrica, anche senza prima chiedere il permesso all’utente.

L’operazione è stata scoperta da Zachary Julian, che si occupa di sicurezza a Bishop Fox. Un vago riferimento alla possibilità di “accadere ai contatti” appare tra le autorizzazioni richieste su iOS e sulle recenti versioni di Android, ma Sarahah specifica (e solo su iOS) di star chiedendo di vedere i contatti solo per collegare agli amici che hanno un account sulla piattaforma e non esiste neanche un simile avviso nelle versioni più vecchie di Android. Faccio inoltre notare che “Sarahah” non usa davvero i contatti della rubrica per informarvi su quali dei vostri amici siano sulla piattaforma: non è assolutamente chiaro quale sia lo scopo per cui queste informazioni vengano registrate.

Quando la notizia ha iniziato a circolare il creatore della app Zain al-Abidin Tawfiq ha rilasciato una serie di dichiarazioni su Twitter e al sito The Intercept, dichiarando che la funzionalità è presente per errore di un partner con cui hanno lavorato in passato, che serve davvero solo a trovare i propri amici su “Sarahah”, che sarà tolta in futuro e che comunque nessuna informazione privata degli utenti è stata memorizzata. Un’affermazione purtroppo impossibile da verificare: quello che sappiamo è che se avete installato “Sarahah” sul vostro smartphone l’intera vostra rubrica è intanto stata spedita a Zain al-Abidin Tawfiq. Non molto anonimo per un’app in teoria basata sull’anonimato.

Se la notizia vi stupisce, sappiate che molte applicazioni gratuite in realtà si comportano in questo modo, e che non sempre le informazioni che lasciate scaricare a queste compagnie restano al sicuro. Anche se una compagnia gestisce i vostri dati personali in buona fede, solo per darvi servizi in modo corretto, pensate comunque che state memorizzando informazioni private su un server remoto su cui non avete controllo ma che può essere violato.

fonte The Intercept