sarahah spia
Sicurezza

Così l’app Sarahah spia i nostri contatti

La chat anonima più famosa dell’estate non protegge davvero la privacy degli iscritti come ha scoperto un ricercatore di sicurezza

Può un’applicazione che promette di scambiare messaggi anonimi rispettare davvero la privacy dei suoi utenti? Sarahah si basava su un assunto del genere e invece faceva tutt’altro.

Avevamo scritto di come funziona il software di chat per Android e iOS: ognuno può iscriversi e aprire un account pubblico sul quale ricevere comunicazioni senza la possibilità di capire da chi siano partite. Il mittente infatti non compila alcun campo se non quello del messaggio e persino chi non è registrato può inviare post a iosa, nascondendo la propria identità.

A chi serve un’app così? Pensata inizialmente come mezzo per consentire la diffusione di feedback genuini da parte dei dipendenti verso i datori di lavoro, lo strumento è divenuto utile anche per gli informatori e gli attivisti che vivono in paesi dove la democrazia è solo un concetto utopico.

Privacy negata

Vi rendete conto che in situazioni simili, preservare l’anonimato è quanto mai fondamentale. Non per altro sul sito si leggono cose del tipo: Sarah non rivela i dati degli utenti senza un loro consenso e Sarahah non ruba dati e informazioni. Peccato che il ricercatore di sicurezza Zachary Julian abbia scoperto l’esatto contrario.

Sarahah ruba contatti e email

Nella pratica, ogni volta che una persona installa Sarahah sullo smartphone Android oppure iPhone, questa comincia a spulciare tra i contatti in rubrica e le email conservate in memoria, inviando tutto ai server dello sviluppatore saudita, Zain al-Abidin Tawfiq.

Già qui il primo problema: c’è modo di tenere all’oscuro la polizia del monarca sempre attenta a sbirciare tra i software usati dai suoi cittadini? La risposta è no, soprattutto se i server di Sarahah (non ci sono smentite) sono localizzati proprio nel paese arabo.

Come agisce in silenzio

Come ha spiegato Zachary Julian al sito di Gleen Greenwald The Intercept, appena si effettua il login, Sarahah spedisce le informazioni sensibili ai server della compagnia: “Trasmette tutti i tuoi contatti email e telefonici memorizzati su Android”. Lo stesso accade per l’iPhone, dove la chat chiede di poter accedere a parti specifiche del sistema operativo, come appunto la rubrica, altrimenti non riesce a funzionare.

Se per Apple e gli Android più recenti è l’utente a dover confermare la richiesta, sui telefonini più datati non compare alcun avviso, seppur questo si attui senza intoppi. Insomma, la trasparenza non è di casa.

La risposta del fondatore

Dopo le prime critiche, Zain al-Abidin Tawfiq ha scritto su Twitter che nella prossima versione dell’app non vi sarà nessun monitoraggio. Ma il dubbio resta: perché ha inserito la funzione in prima battuta?

Critiche concrete

A quanto pare in via preliminare in attesa di introdurre delle novità basate sulla lista degli amici. In altre parole, in un futuro non stabilito Sarahah potrà ricercare utenti partendo dai numeri di cellulare, così da poter visualizzare all’istante chi tra le proprie conoscenze l’ha già installata.

Niente di imminente e dunque, come puntualizza The Intercept, nulla che giustifichi quello che è un vero e proprio furto nei confronti degli utilizzatori. Anche perché, a differenza di illustri competitor (come WhatsApp e Telegram) che pur senza l’anonimato cercano di proteggere la privacy in altro modo (con la crittografia end-to-end ad esempio), su Sarahah non sappiamo nemmeno come vengono gestite le comunicazioni tra i navigatori, figuriamoci se poi alla base vi è una vera e propria un’intrusione degna dei peggiori malware in circolazione.

Per saperne di più

© Riproduzione Riservata

Commenti