Kolejne naruszenia bezpieczeństwa. Tym razem winną aplikacją jest Sarahah

0

Sarahah wysyła listę kontaktów na serwer

Kwestie dbania o naszą prywatność i bezpieczeństwo powracają jak bumerang. Z każdą odsłoną systemu dostajemy dziesiątki poprawek, które mają nas ustrzec od nadużyć — a bywa z tym… naprawdę różnie. Najlepszym dowodem niech będzie zeszłotygodniowa afera z AccuWeather, które — jak się okazało — bez zgody użytkowników zbierało ich dane lokalizacyjne i przekazywało firmom trzecim. Tym razem na celowniku znalazła się jedna z najpopularniejszych aplikacji ostatnich tygodni: Sarahah. O tym na czym polega fenomen platformy rozpisała się ostatnio Magda, a ja mam dziś smutny obowiązek poinformowania was o nadużyciach, których rzekomo dopuścili się twórcy aplikacji.

Sarahah bez zgody użytkownika wysyła listę jego kontaktów na serwer

Jak czytamy na wpisie w serwisie The Intercept, ta szalenie popularna aplikacja też ma swoje za uszami. Podobno już przy pierwszym uruchomieniu, program wysyła całą naszą listę kontaktów na serwery twórców. Co więcej — nie u wszystkich użytkowników miałoby padać pytanie o dostęp do takowych, a nawet jeżeli użytkownicy się na taki krok zgodzili, to lwia część z nich zrobiła to z myślą o wyszukiwaniu znajomych, a nie dzieleniu się swoimi kontaktami.

Wpadkę firmy odkrył i zaczął nagłaśniać Zachary Julian, zajmujący się bezpieczeństwem w firmie Bishop Fox. Uruchomił on aplikację Sarahah z oprogramowaniem monitorującym aktywności (BURP Suite), który śledzi informacje które wymykają się z naszego urządzenia. Test odbył się na Samsungu Galaxy S5 (Android 5.1.1), ale potwierdził też, że podobnie sprawy mają się także na iPhonie — z tym, że wcześniej zostaniemy tam zapytani o dostęp do naszej listy kontaktów. Co więcej, jeżeli od dłuższego czasu nie korzystałeś z aplikacji, to ta… ponownie poczęstuje się listą.

Głos w sprawie dość szybko zabrał jeden z twórców platformy na Twitterze. Jego tłumaczeniem jest… planowana funkcja „znajdź znajomych”:

Co więcej — zapewnił że w najbliższych wersjach wysyłanie kontaktów bez zgody użytkownika będzie usunięte, po prostu jeden z partnerów który pracował nad aplikacją tego nie usunął, a on najzwyczajniej w świecie to przeoczył. Dodał też, że żadne z tych informacji nie są przetrzymywane na serwerach firmy — choć jest to jedna z wiadomości, której nie ma możliwości potwierdzić.

Kolejny tydzień, kolejne tłumaczenia i podobne problemy

Smutno patrzeć na to wszystko z boku i widzieć, że tak naprawdę nikt nie traktuje naszej prywatności poważnie. A co gorsza, później mają w związku z tym jeszcze naprawdę słabe wymówki.

Źródło: The Intercept

Do
góry