Sarahah coleta dados de usuários sem explicar o motivo
Com finalidade duvidosa, lista de contatos de usuário é armazenada por aplicativo de mensagens anônimas
As mensagens anônimas enviadas pelo Sarahah podem ter um preço maior do que imaginado. Segundo um analista de segurança, o aplicativo está copiando a lista de contatos dos usuários para seus servidores no momento da instalação, sem deixar exatamente claro quando isso ocorre ou quais os motivos dessa informação ficar armazenada.
A descoberta foi feita pelo analista sênior de segurança Zachary Julian, que instalou um software de monitoramento Burp Suite, o qual revela as conexões do celular com servidores externos. Assim que o Sarahah foi aplicado em seu Galaxy S5, com Android 5.1.1., o Burp apontou seus dados privados sendo enviados.
Quando testado no iOS, o usuário é questionado se autoriza o acesso à sua lista de contatos antes dessa ação, o que também acontece com as novas versões do Android (6.0 Marshmallow), porém, quem utiliza versões antigas pode estar vulnerável. Mesmo que exista um pequeno aviso sobre o uso da agenda de contatos na página do aplicativo, a autorização não é feita de maneira clara – nem a finalidade do uso.
Em entrevista para o The Intercept, Julian também explica que o aplicativo refaz o upload de dados se o usuário ficar muito tempo sem o acessar – ele demonstra a utilização do software em vídeo. Sarahah respondeu sobre o caso apenas quando a matéria foi lançada, através do twitter de Zain al-Abidin Tawfiq, criador do aplicativo.
Sarahah App asked for contacts for a planned "find your friends" feature
— ZainAlabdin Tawfiq (@ZainAlabdin878) August 27, 2017
Segundo Zain, a funcionalidade será removida na próxima atualização e não estava exatamente ativa, já que seria utilizada para que os usuários encontrassem amigos em comum, o que não foi efetivado. Ele também explica que o recurso foi bloqueado por problemas técnicos e que um dos seus antigos parceiros havia “esquecido” de remover essa parte do aplicativo que, no entanto, já havia sido retirada dos servidores – o que é impossível de verificar.
Sarahah é um dos aplicativos gratuitos com maior popularidade atualmente. Nele, o usuário pode criar um perfil e enviar mensagens anônimas para amigos ou desconhecidos.
O compartilhamento de dados pessoais é algo comum no uso de aplicativos gratuitos, seja para iOS ou Android. Em qualquer um dos sistemas os usuários também podem revogar permissões, mesmo depois da instalação. O problema em questão é a falta de clareza no uso de dados, o que pode expor a segurança dos usuários e sua privacidade, principalmente quando talvez ele nem saiba que está fornecendo informações privadas.
