L’applicazione “dell’onestà” Sarahah, divenuta virale da poco tempo e con la quale è possibile inviare o ricevere messaggi anonimi, non è altrettanto anonima come potrebbe sembrare. Infatti, l’applicazione pare riesca a memorizzare i contatti telefonici dell’utente sui server aziendali.
Un analista per la sicurezza, Zachary Julian, che lavora per la società di consulenza di sicurezza IT firm Bishop Fox, è stato il primo a scoprire come Sarahah carichi informazioni private, utilizzando un software di monitoraggio BURP Suite. “Appena si accede all’applicazione, trasmette tutti i tuoi contatti di posta elettronica e memorizzati sul telefono nel sistema operativo Android“, ha commentato Julian.
Sebbene l’applicazione chieda l’autorizzazione dell’utente per accedere ai contatti, non esiste alcuna funzionalità nell’applicazione in cui questi contatti potrebbero essere necessari o anche una funzione di ricerca in cui gli utenti possono cercare un amico che utilizzi un numero di contatto.
Tuttavia, il fondatore di Sarahah, tale Zain al-Abidin Tawfiq ha dichiarato che le liste di contatti sono state caricate “per una funzione di ricerca dei propri amici” che non era ancora stata rilasciata. In un tweet, sempre Tawfiq ha scritto che la richiesta dei dati verrà rimossa sul prossimo aggiornamento.
Spesso, può sembrare sospetto il fatto che agli utenti non venga richiesto nulla affiché gli venga concesso l’accesso alle applicazioni, nè tantomeno ai loro elenchi di contatti. Ad esempio, prima del 2017, il servizio di sottoscrizione della newsletter Unroll.me ha richiamato molte critiche dopo le accuse di aver venduto i dati degli utenti al servizio Uber.
Sarahah è stata concepita come un’applicazione per consentire agli utenti di ricevere commenti “sinceri” da amici e colleghi e dipendenti, ma l’applicazione raccoglie molti più messaggi di feedback di quanto sembri. Quando viene scaricata per la prima volta, raccoglie immediatamente e carica tutti i contatti e gli indirizzi di posta elettronica nella rubrica.
