Aggiornamenti recenti Maggio 11th, 2026 3:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Falso repository OpenAI su Hugging Face distribuisce malware
- Ecco il GitHub per fare di Claude un operatore OSINT avanzato
- Un dipendente su otto considera accettabile vendere le credenziali
- Quasar Linux RAT: malware che punta alla supply chain software
- CISA avvisa: Copy Fail sfruttata per root sui sistemi Linux
Sarahah ruba tutti i contatti degli utenti
L’app che propone la possibilità di ricevere commenti “onesti” grazie all’anonimato carica sui suoi server tutti i contatti che trova nella rubrica.
L’idea alla base di Sarahah è semplice, ma intrigante: consentire a tutti i nostri contatti di inviarci un messaggio anonimo in cui possono essere completamente onesti nei giudizi che esprimono nei nostri confronti. Messaggi anonimi che permettono alle persone di essere completamente oneste.
Non stupisce, quindi, che l’app abbia conquistato un nutrito numero di estimatori: su Google Store l’app ha tra i 10 e i 50 milioni di download, mentre su iTunes è tra le 100 più scaricate.
Quello che i milioni di utilizzatori di Sarahah non potevano immaginare, però, è che l’anonimato valga solo per loro. L’app, infatti, è programmata per caricare sui server degli sviluppatori tutti i contatti memorizzati sul dispositivo di chi la installa.
A lanciare l’allarme è stato Zachary Julian, un ricercatore di sicurezza di Bishop Fox, che ha analizzato il comportamento dell’app utilizzando BURP Suite, uno strumento di analisi che consente di monitorare le comunicazioni in entrata e in uscita dallo smartphone.
Certo, al momento dell’installazione Sarahah chiede il permesso di accedere ai contatti memorizzati sul telefono (cosa per nulla strana per un’app di questo genere) ma come si vede nel video pubblicato da The Intercept, l’applicazione non si limita ad accedere alle informazioni quando ne ha bisogno, ma le trasferisce in blocco a un server esterno.
In seguito alla diffusione della notizia (ripresa ieri da numerosi organi di stampa) l’autore di Sarahah ZainAlabdin Tawfiq ha cercato di giustificarsi con una serie di tweet che, per la verità, lasciano un po’ perplessi.
In un primo momento ha sostenuto che la raccolta di dati avvenisse in vista di una futura funzione di “ricerca di amici”. In seguito, come riporta The Intercept, ha sostenuto che la funzione avrebbe dovuto essere rimossa ma che sarebbe ancora presente a causa di un errore che Tawfiq attribuisce a un collaboratore con cui non lavorerebbe più.
Nella pagina delle FAQ lo sviluppatore assicurava che “Sarahah non ruba informazioni”. A parte tutti i contatti degli utenti…
L’ultimo atto della sua “arrampicata sugli specchi”, riferiscono i colleghi di The Intercept, è stato quello di sostenere che la funzione sia comunque disattivata sul server e che, di conseguenza, i contatti degli utenti non vengono memorizzati nel database remoto. Un’informazione, questa, che è impossibile verificare.
In seguito alla bufera che lo ha travolto, è probabile che Tawfiq mantenga le sue promesse e rilasci a breve una nuova versione dell’app più rispettosa della privacy. Anche se fosse, però, rimane il problema di capire che fine abbiano fatto i dati sottratti fino a ora e come siano stati usati.
Condividi l'articolo
Il leak del Trono di Spade usato come esca per diffondere un trojan
La piattaforma pubblicitaria Igexin invia in Cina i dati degli utenti
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo... -
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a... -
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno... -
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Falso repository OpenAI su Hugging Face distribuisce La corsa all’AI sta creando nuove superfici di attacco... -
Ecco il GitHub per fare di Claude un operatore OSINT... L’intelligenza artificiale sta, ovviamente e... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto...
-
Quasar Linux RAT: malware che punta alla supply chain... Un nuovo malware Linux altamente sofisticato sta attirando... -
CISA avvisa: Copy Fail sfruttata per root sui sistemi Linux CISA ha inserito Copy Fail tra le vulnerabilità sfruttate...
Ransomware: la serie
No posts found.
2 thoughts on “Sarahah ruba tutti i contatti degli utenti”