Sarahah copia di nascosto la rubrica degli utenti

Sarahah, l’applicazione pensata per fornire commenti anonimi sui propri contatti e diventata vero e proprio tormentone dell’estate 2017, torna al centro delle polemiche. E questa volta non per il suo uso improprio, tale da spingere molti a sfruttarne le peculiarità per inoltrare insulti protetti dall’anonimato, bensì per il suo funzionamento. Zachary Julian, un ricercatore esperto in sicurezza di Bishop Fox, ha infatti scoperto come il software effettui una copia della rubrica del device per caricarla su server remoti. Un fatto, confermato da The Intercept, che ha comprensibilmente generato forti preoccupazioni non solo fra gli iscritti, tuttavia minimizzato dagli sviluppatori.

Sarahah, un’applicazione di origine saudita inizialmente pensata per fornire “feedback onesti” e anonimi in ambito lavorativo, ha raggiunto un’estrema popolarità nel corso dell’estate, sebbene per usi ben diversi rispetto a quelli inizialmente previsti dagli sviluppatori. La possibilità di ricevere messaggi anonimi ha affascinato milioni di utenti, soprattutto sui social network, eppure l’attrazione per lo sconosciuto è rapidamente degenerata quando è apparso evidente come i servizi del software siano stati prevalentemente sfruttati per inoltrare insulti o perpetrare comportamenti abusivi. La stampa si è quindi divisa tra i detrattori, pronti a denunciare il possibile uso di Sarahah per azioni di cyberbullismo, ed altri che ne hanno invece sottolineato un aspetto perlopiù goliardico, pur nella sua ferocia. Oggi il software è al centro di una nuova polemica, quest’ultima estranea dal comportamento diretto degli utenti: sarebbero emersi, infatti, dubbi sulla sicurezza dei dati personali.

Dopo aver installato Sarahah sul proprio device Android, un Galaxy S5 di Samsung, l’esperto di sicurezza Zachary Julian ne ha monitorato il comportamento, tramite la suite BURP: il software intercetta il traffico web in uscita e in entrata dal dispositivo, per permettere al proprietario di verificare quali server remoti vengano interrogati. L’esperto ha quindi scoperto un comportamento pressoché nascosto dell’app: la rubrica dei contatti, infatti, verrebbe copiata e inoltrata su server remoti. Il ricercatore ha quindi confermato come lo stesso comportamento si verifichi anche su iOS.

Sebbene sia Android e iOS prevedano delle misure di sicurezza per evitare che i propri dati personali vengano condivisi senza l’autorizzazione del proprietario, l’esperto sostiene la vicenda rimanga comunque anomala. Julian ha infatti rilevato come l’applicazione ciclicamente aggiorni la rubrica sui propri server, anche quando da tempo non in uso. La redazione di The Intercept ha perciò cercato di contattare Zain al-Abidin Tawfiq, lo sviluppatore saudita alla base di Sarahah, il quale ha confermato su Twitter l’esistenza di questa funzione, promettendone la rimozione in un futuro aggiornamento software. Secondo quanto dichiarato, la copia della rubrica verrebbe creata per garantire la ricerca dei propri amici sul singolare social, sebbene il gruppo abbia incontrato delle difficoltà tecniche che ne hanno impedito il corretto funzionamento. E nonostante la feature sia stata poi bocciata, avrebbe fatto capolino per errore nelle versioni dell’app oggi disponibili sugli store Apple e Google.

[embed_twitter]https://twitter.com/ZainAlabdin878/status/901812205741629444[/embed_twitter]

Drew Porter, fondatore della società di sicurezza Red Mesa, ha sottolineato come la raccolta della rubrica dell’utente sia abbastanza diffusa fra le applicazioni mobile, soprattutto quelle gratuite, e di conseguenza ha invitato gli utenti a negare questa possibilità in via cautelativa, quando il sistema operativo lo richiede. Le problematiche connesse sono infatti molte: non solo si mettono a rischio i propri dati personali, ma anche quelli di contatti effettivamente non iscritti a simili servizi, fornendoli a terzi perlopiù sconosciuti su cui non si può avere controllo:

Non ci si deve più preoccupare solo dei dati sul proprio telefono, ci si deve preoccupare anche dei dati del proprio telefono ormai disponibili altrove, dove non si ha alcun controllo in caso venissero compromessi. Non si può pensare “questa compagnia può vedere le mie informazioni e va bene così”. Bisogna pensare prima alla sicurezza di quella compagnia.

Will Strafach, presidente di Sudo Security Group, ha spiegato come gli usi della rubrica di Sarahah potrebbero essere anche del tutto innocui, tuttavia l’utente può solo verificare quel che avviene sul proprio device, mentre non ha controllo sui server altrui:

Anche in un caso di uso innocuo, se i dati non sono gestiti in modo sicuro, un attacco ai server da parte di malintenzionati potrebbe rivelare queste informazioni di contatto.

Sempre Julian, infine, ha spiegato come la questione dovrà essere indagata a fondo, poiché Sarahah possiede tra i 10 e i 50 milioni di utenti, ognuno dei quali potrebbe disporre di una rubrica da centinaia di contatti. Se così fosse tutti potrebbero risultarne esposti, sia gli iscritti che i loro ignari amici.