Aggiornamenti recenti Maggio 22nd, 2026 12:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Kaspersky: gli agenti IA cambiano la fiducia aziendale
- HackerOne taglia drasticamente le ricompense dei bug bounty
- Attacco ai router Huawei dietro blackout telecom del Lussemburgo
- MSHTA, lo “zombie” di IE che alimenta attacchi su Windows
- NGINX Rift, rischio RCE per una falla rimasta nascosta 18 anni
Sarahah ruba tutti i contatti degli utenti
L’app che propone la possibilità di ricevere commenti “onesti” grazie all’anonimato carica sui suoi server tutti i contatti che trova nella rubrica.
L’idea alla base di Sarahah è semplice, ma intrigante: consentire a tutti i nostri contatti di inviarci un messaggio anonimo in cui possono essere completamente onesti nei giudizi che esprimono nei nostri confronti. Messaggi anonimi che permettono alle persone di essere completamente oneste.
Non stupisce, quindi, che l’app abbia conquistato un nutrito numero di estimatori: su Google Store l’app ha tra i 10 e i 50 milioni di download, mentre su iTunes è tra le 100 più scaricate.
Quello che i milioni di utilizzatori di Sarahah non potevano immaginare, però, è che l’anonimato valga solo per loro. L’app, infatti, è programmata per caricare sui server degli sviluppatori tutti i contatti memorizzati sul dispositivo di chi la installa.
A lanciare l’allarme è stato Zachary Julian, un ricercatore di sicurezza di Bishop Fox, che ha analizzato il comportamento dell’app utilizzando BURP Suite, uno strumento di analisi che consente di monitorare le comunicazioni in entrata e in uscita dallo smartphone.
Certo, al momento dell’installazione Sarahah chiede il permesso di accedere ai contatti memorizzati sul telefono (cosa per nulla strana per un’app di questo genere) ma come si vede nel video pubblicato da The Intercept, l’applicazione non si limita ad accedere alle informazioni quando ne ha bisogno, ma le trasferisce in blocco a un server esterno.
In seguito alla diffusione della notizia (ripresa ieri da numerosi organi di stampa) l’autore di Sarahah ZainAlabdin Tawfiq ha cercato di giustificarsi con una serie di tweet che, per la verità, lasciano un po’ perplessi.
In un primo momento ha sostenuto che la raccolta di dati avvenisse in vista di una futura funzione di “ricerca di amici”. In seguito, come riporta The Intercept, ha sostenuto che la funzione avrebbe dovuto essere rimossa ma che sarebbe ancora presente a causa di un errore che Tawfiq attribuisce a un collaboratore con cui non lavorerebbe più.
Nella pagina delle FAQ lo sviluppatore assicurava che “Sarahah non ruba informazioni”. A parte tutti i contatti degli utenti…
L’ultimo atto della sua “arrampicata sugli specchi”, riferiscono i colleghi di The Intercept, è stato quello di sostenere che la funzione sia comunque disattivata sul server e che, di conseguenza, i contatti degli utenti non vengono memorizzati nel database remoto. Un’informazione, questa, che è impossibile verificare.
In seguito alla bufera che lo ha travolto, è probabile che Tawfiq mantenga le sue promesse e rilasci a breve una nuova versione dell’app più rispettosa della privacy. Anche se fosse, però, rimane il problema di capire che fine abbiano fatto i dati sottratti fino a ora e come siano stati usati.
Condividi l'articolo
Il leak del Trono di Spade usato come esca per diffondere un trojan
La piattaforma pubblicitaria Igexin invia in Cina i dati degli utenti
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo... -
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a... -
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in... -
Attacco ai router Huawei dietro blackout telecom del... Un attacco informatico basato su una vulnerabilità... -
MSHTA, lo “zombie” di IE che alimenta attacchi su... Nonostante Internet Explorer sia ormai ufficialmente morto... -
NGINX Rift, rischio RCE per una falla rimasta nascosta 18... Una vulnerabilità critica rimasta nascosta per quasi due... -
Falso repository OpenAI su Hugging Face distribuisce La corsa all’AI sta creando nuove superfici di attacco...
Ransomware: la serie
No posts found.
2 thoughts on “Sarahah ruba tutti i contatti degli utenti”