Sarahah è l’applicazione del momento ed il perché è presto detto: permette di inviare messaggi completamente anonimi agli utenti, senza che chi riceve il messaggio abbia la possibilità di replicare o di risalire all’identità dell’autore della missiva. Vi abbiamo spiegato come scaricare e utilizzare Sarahah in questo articolo e nel giro di poco tempo l’app ha raggiunto milioni di download ma adesso un esperto di sicurezza ha sollevato un problema.
Sarahah raccoglie i numeri di telefono e gli indirizzi email salvati nella rubrica del proprio smartphone Android e li salva su un server esterno. A darne notizia è Zachary Julian, un esperto di sicurezza informatica che dopo aver installato l’applicazione sul proprio Galaxy S5, ha monitorato il comportamento di Sarahah. Un software che intercetta il traffico dati in uscita ha rivelato che Sarahah entrava in comunicazione con server sconosciuti.
Dalle verifiche effettuate, Julian ha scoperto che quando si entra nell’applicazione questa trasmette gli indirizzi email e i contatti telefonici conservati nella rubrica del sistema operativo. Anche su iOS. Una vera e propria copia di tutti i contatti, caricata poi su un server di cui l’utente non conosce l’esistenza. E come se non bastasse, l’applicazione aggiorna progressivamente la rubrica.
Una notizia che sta facendo il giro del mondo preoccupando i milioni di utenti che hanno iniziata ad utilizzarla negli ultimi mesi. Zain al-Abidin Tawfiq, lo sviluppatore di Sarahah, ha confermato questo comportamento spiegando che la copia della rubrica avrebbe permesso di ricercare i propri amici sul social singolare. Una funzione che è stata poi bocciata dallo stesso sviluppatore che ha lasciato lo stesso il codice per la copia ed il salvataggio dei contatti.
Zain al-Abidin Tawfiq dichiara che risolverà il problema cambiando il codice con il prossimo aggiornamento dell’applicazione ma la violazione della privacy rimane. Soprattutto se si pensa che l’utente non può conoscere come verranno utilizzate queste informazioni fuori dal suo smartphone.