Sarahah “ruba” i nostri dati dalla rubrica e li invia ai propri server

Dopo l’entusiasmo per Sarahah, l’app dell’estate che permette di ricevere messaggi anonimi, arriva una notizia che spiazza gli utenti. Si è scoperto che una volta installata sullo smartphone, l’app “sbircia” nella rubrica e copia tutti i nostri dati su un server esterno.

Allarme lanciato da un’analista per la sicurezza informatica

A lanciare l’allarme è stato Zachary Julian, analista per la sicurezza informatica, che – grazie a smartphone e software specializzato nel registrare traffico in entrata e uscita – ha monitorato tutte le attività dell’app sia su Android che su iPhone. In entrambi i casi i dati della rubrica vengono rubati, anche se su iOS l’app chiede il permesso di accedere alla rubrica con la scusa di scoprire chi tra i nostri contatti l’ha scaricata.

E’ un procedimento che avviene praticamente per tutte le app “social” che richiedono un’interazione con altri utenti. Ma la novità che desta preoccupazione è che i dati vengono anche caricati su un server esterno.

La risposta dello sviluppatore

Lo sviluppatore saudita Zain al-Abidin Tawfiq che ha creato l’app dovrà ora chiarire la questione. Si stima che Sarahah abbia ormai più di 18 milioni di utilizzatori, che l’hanno scaricata sui loro iPhone e smartphone Android, e che quindi abbia potuto raccogliere centinaia di milioni di numeri di telefono e indirizzi email, nella maggior parte dei casi all’insaputa delle persone interessate. Quando viene installata, l’applicazione chiede l’autorizzazione per accedere ai contatti della propria rubrica, ma l’avviso è piuttosto generico e non è chiaro quale sia l’effettivo scopo della raccolta, cosa che pone diversi problemi dal punto di vista della tutela della privacy degli utenti.

Zain al-Abidin Tawfiq, l’ideatore di Sarahah, ha scritto su Twitter che la funzione per accedere ai contatti e inviarli ai server dell’app sarà disattivata in un futuro aggiornamento. Ha anche scritto che era stata inserita inizialmente con l’idea di creare una funzione del tipo “Trova i tuoi amici”, presente in molte altre app, per rendere più rapida l’identificazione dei contatti che già utilizzano Sarahah.

Lo sviluppo della funzionalità aveva però portato a qualche intoppo ed era quindi già in programma una sua rimozione, che però non è ancora avvenuta. Tawfiq ha spiegato a The Intercept che i server di Sarahah non mantengono più le informazioni sui numeri di telefono e le email, anche se questi sono lo stesso inviati dall’applicazione. Questa circostanza è però impossibile da verificare, perché sarebbe necessario un accesso ai server per controllare le attività che vengono svolte dall’applicazione.

Non concedere l’accesso alla rubrica

Gli esperti di sicurezza informatica invitano in generale a non concedere l’accesso alla propria rubrica, soprattutto se a chiederlo sono applicazioni che non hanno dietro grandi organizzazioni e che potrebbero quindi avere preso meno precauzioni per tutelare il trasferimenti dei dati. È già successo in passato che grandi database, contenenti milioni di numeri di telefono ed email, siano stati resi pubblici o messi in vendita su forum di hacker e di altri utenti poco raccomandabili. Nel caso di Sarahah, per esempio, non ci sono informazioni chiare né sulle modalità di trasferimento dei dati né sui livelli di sicurezza dei server che gestiscono le informazioni.

Consapevoli dei rischi e in seguito alle analisi di esperti e organizzazioni per la tutela della privacy, negli ultimi anni i principali produttori di sistemi operativi per smartphone hanno reso più severe le regole di accesso alle informazioni contenute nella rubrica.