Aggiornamenti recenti Febbraio 26th, 2020 4:33 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi a raffica a WordPress prendono di mira plugin vulnerabili
- Raffica di pagamenti non autorizzati tramite PayPal. Cosa succede?
- KidsGuard: lo stalkerware con doppia violazione della privacy
- I rischi per il 5G? Attenti alla convivenza con il Wi-Fi!
- I dati di 10 milioni di clienti degli hotel MGM su un forum hacker
Sarahah ruba tutti i contatti degli utenti
L’app che propone la possibilità di ricevere commenti “onesti” grazie all’anonimato carica sui suoi server tutti i contatti che trova nella rubrica.
L’idea alla base di Sarahah è semplice, ma intrigante: consentire a tutti i nostri contatti di inviarci un messaggio anonimo in cui possono essere completamente onesti nei giudizi che esprimono nei nostri confronti. Messaggi anonimi che permettono alle persone di essere completamente oneste.
Non stupisce, quindi, che l’app abbia conquistato un nutrito numero di estimatori: su Google Store l’app ha tra i 10 e i 50 milioni di download, mentre su iTunes è tra le 100 più scaricate.
Quello che i milioni di utilizzatori di Sarahah non potevano immaginare, però, è che l’anonimato valga solo per loro. L’app, infatti, è programmata per caricare sui server degli sviluppatori tutti i contatti memorizzati sul dispositivo di chi la installa.
A lanciare l’allarme è stato Zachary Julian, un ricercatore di sicurezza di Bishop Fox, che ha analizzato il comportamento dell’app utilizzando BURP Suite, uno strumento di analisi che consente di monitorare le comunicazioni in entrata e in uscita dallo smartphone.
Certo, al momento dell’installazione Sarahah chiede il permesso di accedere ai contatti memorizzati sul telefono (cosa per nulla strana per un’app di questo genere) ma come si vede nel video pubblicato da The Intercept, l’applicazione non si limita ad accedere alle informazioni quando ne ha bisogno, ma le trasferisce in blocco a un server esterno.
In seguito alla diffusione della notizia (ripresa ieri da numerosi organi di stampa) l’autore di Sarahah ZainAlabdin Tawfiq ha cercato di giustificarsi con una serie di tweet che, per la verità, lasciano un po’ perplessi.
In un primo momento ha sostenuto che la raccolta di dati avvenisse in vista di una futura funzione di “ricerca di amici”. In seguito, come riporta The Intercept, ha sostenuto che la funzione avrebbe dovuto essere rimossa ma che sarebbe ancora presente a causa di un errore che Tawfiq attribuisce a un collaboratore con cui non lavorerebbe più.
Nella pagina delle FAQ lo sviluppatore assicurava che “Sarahah non ruba informazioni”. A parte tutti i contatti degli utenti…
L’ultimo atto della sua “arrampicata sugli specchi”, riferiscono i colleghi di The Intercept, è stato quello di sostenere che la funzione sia comunque disattivata sul server e che, di conseguenza, i contatti degli utenti non vengono memorizzati nel database remoto. Un’informazione, questa, che è impossibile verificare.
In seguito alla bufera che lo ha travolto, è probabile che Tawfiq mantenga le sue promesse e rilasci a breve una nuova versione dell’app più rispettosa della privacy. Anche se fosse, però, rimane il problema di capire che fine abbiano fatto i dati sottratti fino a ora e come siano stati usati.
Condividi l'articolo
Il leak del Trono di Spade usato come esca per diffondere un trojan
La piattaforma pubblicitaria Igexin invia in Cina i dati degli utenti
Articoli correlati
Altro in questa categoria
Sicurezza Gestita: servizio enterprise a una frazione del costo
Approfondimenti
-
La “nuova normalità” della security secondo Trend Il rapporto della società di sicurezza fa il punto sul... -
Lutech: “ecco il nostro SOC di nuova generazione” L’azienda milanese inaugura il suo nuovo Security... -
Alero: la sicurezza passa dal controllo “forte” sugli... La soluzione CyberArk mette in campo controlli biometrici... -
Il SIEM cresce e sfocia in altri servizi Sviluppare un SIEM efficace al giorno d’oggi... -
La cassetta degli attrezzi del bravo hacker Sergio Caruso è un esperto di sicurezza che abbiamo già...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Attacchi a raffica a WordPress prendono di mira plugin... Almeno due gruppi di cyber-criminali stanno sfruttando... -
Raffica di pagamenti non autorizzati tramite PayPal. Cosa... Su Internet segnalazioni da parte degli utenti che si... -
KidsGuard: lo stalkerware con doppia violazione della... Il software spia non si limita a permettere il controllo... -
I rischi per il 5G? Attenti alla convivenza con il Wi-Fi! L’allarme lanciato da WatchGuard: “l’uso di reti... -
I dati di 10 milioni di clienti degli hotel MGM su un forum... La catena di hotel statunitense avrebbe subito un...
Raffica di pagamenti non autorizzati tramite PayPal. Cosa succede?
Su Internet segnalazioni da parte degli utenti che si trovano... Continua →
Vocabolario della sicurezza
Guide alla sicurezza
Il futuro dell’autenticazione multi-fattore è hardware
Il superamento di username e password è una necessità. Ma...
DDoS e attacchi alle Web Application: le nuove sfide
Le tecniche di attacco sono in continua crescita ed evoluzione....
Credential Stuffing: i costi per le aziende e le contromisure
Uno studio del Ponemon Institute, condotto intervistando 569 IT manager...
I rischi di sicurezza nell’IoT e come porre un primo rimedio
Gli accessori connessi a Internet sono la nuova frontiera delle...
Guida completa a Instagram per genitori
Instagram è uno dei social network più conosciuti su internet....
2 thoughts on “Sarahah ruba tutti i contatti degli utenti”