Aggiornamenti recenti Luglio 8th, 2025 2:50 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Liste di dati sul dark web: una fonte inaffidabile per le analisi di sicurezza. L’approfondimento di Group-IB
- Ingram Micro, dietro l’alt dei sistemi c’è un attacco ransomware
- CERT-AGID 28 giugno – 4 luglio: 79 campagne malevole e MintsLoader all’attacco
- Un cartello messicano ha spiato l’FBI hackerando i suoi dispositivi
- Due vulnerabilità in Sudo mettono a rischio Linux: una consente l’accesso root
Sarahah ruba tutti i contatti degli utenti
L’app che propone la possibilità di ricevere commenti “onesti” grazie all’anonimato carica sui suoi server tutti i contatti che trova nella rubrica.
L’idea alla base di Sarahah è semplice, ma intrigante: consentire a tutti i nostri contatti di inviarci un messaggio anonimo in cui possono essere completamente onesti nei giudizi che esprimono nei nostri confronti. Messaggi anonimi che permettono alle persone di essere completamente oneste.
Non stupisce, quindi, che l’app abbia conquistato un nutrito numero di estimatori: su Google Store l’app ha tra i 10 e i 50 milioni di download, mentre su iTunes è tra le 100 più scaricate.
Quello che i milioni di utilizzatori di Sarahah non potevano immaginare, però, è che l’anonimato valga solo per loro. L’app, infatti, è programmata per caricare sui server degli sviluppatori tutti i contatti memorizzati sul dispositivo di chi la installa.
A lanciare l’allarme è stato Zachary Julian, un ricercatore di sicurezza di Bishop Fox, che ha analizzato il comportamento dell’app utilizzando BURP Suite, uno strumento di analisi che consente di monitorare le comunicazioni in entrata e in uscita dallo smartphone.
Certo, al momento dell’installazione Sarahah chiede il permesso di accedere ai contatti memorizzati sul telefono (cosa per nulla strana per un’app di questo genere) ma come si vede nel video pubblicato da The Intercept, l’applicazione non si limita ad accedere alle informazioni quando ne ha bisogno, ma le trasferisce in blocco a un server esterno.
In seguito alla diffusione della notizia (ripresa ieri da numerosi organi di stampa) l’autore di Sarahah ZainAlabdin Tawfiq ha cercato di giustificarsi con una serie di tweet che, per la verità, lasciano un po’ perplessi.
In un primo momento ha sostenuto che la raccolta di dati avvenisse in vista di una futura funzione di “ricerca di amici”. In seguito, come riporta The Intercept, ha sostenuto che la funzione avrebbe dovuto essere rimossa ma che sarebbe ancora presente a causa di un errore che Tawfiq attribuisce a un collaboratore con cui non lavorerebbe più.
Nella pagina delle FAQ lo sviluppatore assicurava che “Sarahah non ruba informazioni”. A parte tutti i contatti degli utenti…
L’ultimo atto della sua “arrampicata sugli specchi”, riferiscono i colleghi di The Intercept, è stato quello di sostenere che la funzione sia comunque disattivata sul server e che, di conseguenza, i contatti degli utenti non vengono memorizzati nel database remoto. Un’informazione, questa, che è impossibile verificare.
In seguito alla bufera che lo ha travolto, è probabile che Tawfiq mantenga le sue promesse e rilasci a breve una nuova versione dell’app più rispettosa della privacy. Anche se fosse, però, rimane il problema di capire che fine abbiano fatto i dati sottratti fino a ora e come siano stati usati.
Condividi l'articolo
Il leak del Trono di Spade usato come esca per diffondere un trojan
La piattaforma pubblicitaria Igexin invia in Cina i dati degli utenti
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Ingram Micro, dietro l’alt dei sistemi c’è un... Da giovedì scorso Ingram Micro sta soffrendo per via di... -
CERT-AGID 28 giugno – 4 luglio: 79 campagne malevole e... Nella settimana appena trascorsa, il CERT-AGID ha... -
Un cartello messicano ha spiato l’FBI hackerando i... Il Sinaloa, un cartello messicano, è riuscito ad... -
Due vulnerabilità in Sudo mettono a rischio Linux: una... Scoperti due gravi bug in Sudo, il celebre strumento da... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Ransomware: la serie
No posts found.
2 thoughts on “Sarahah ruba tutti i contatti degli utenti”