Dopo aver provato l’app Sarahah — con cui ci eravamo divertiti molto meno di quanto pensassimo — ed aver assorbito l’esplosione sui social network dei link ai vari account creati per permettere di ricevere dei messaggi in forma completamente anonima da parte di chiunque, sono arrivati gli esperti di sicurezza informatica a mettere mano all’app.



Il risultato, come si temeva, è preoccupante: Sarahah raccoglie e carica su un server remoto i numeri di telefono e gli indirizzi email presenti nella nostra rubrica senza informare gli utenti. Zachary Julian, analista informatico presso Bishop Fox, utilizzando il software BURP Suite, è riuscito a scoprire che Sarahah carica queste informazioni sia dai dispositivi Android che iOS, come è stato segnalato in un articolo su The Intercept.

BURP è un programma in grado di monitorare e intercettare il traffico in entrata e uscita dal proprio dispositivo, permettendo così di analizzare tutta l’attività di un’app: sia per quanto riguarda le informazioni ricevute che quelle inviate. In generale, le applicazioni comunicano con un server remoto da cui ricevono dati e a cui inviano informazioni. In questo modo, ad esempio, possiamo scorrere le nostre bacheche Facebook e Instagram e visualizzare i contenuti postati dai nostri amici.

Nel caso di Sarahah, questa situazione crea un’ulteriore superficie di attacco a disposizione degli hacker: non solo i nostri dati personali si trovano sul nostro dispositivo, ma sarebbero disponibili anche su di un server su cui noi non abbiamo alcun modo di controllare che vi siano le dovute misure di sicurezza. Ad aggravare la situazione, inoltre, è il fatto che questo trasferimento delle informazioni dal nostro cellulare al server di Sarahah non è notificato da nessuna parte.

Dal punto di vista delle informazioni fornite agli utenti, infatti, siamo chiaramente di fronte a delle palesi lacune: su iOS l’app richiede l’accesso alla lista dei contatti, mentre su Android in alcuni casi non effettua nemmeno questa richiesta. In entrambi i sistemi operativi, però, non c’è riferimento al trasferimento di questi dati su di un server remoto.

Lo sviluppatore di Sarahah, Zain al-Abidin Tawfiq, ha risposto su twitter affermando che la richiesta dei contatti era prevista in quanto necessaria per l’introduzione di una funzione futura per trovare i propri amici che utilizzano l’app. Ha aggiunto anche, però, che a causa di problemi tecnici l’introduzione di questa funzione è stata ritardata ed al momento il database non conserva i dati dei contatti — la richiesta di tali dati sarà rimossa nel prossimo aggiornamento dell’app.

Purtroppo non abbiamo modo di verificare questa affermazione poiché non è possibile accedere al server. Nella privacy policy di Sarahah si ricorda che non saranno vendute le informazioni a terze parti senza prima ricevere un consenso scritto, a meno che i dati raccolti non siano utilizzati per statistiche e ricerca e siano chiaramente privi di dati che possono identificare gli utenti.



Per chi volesse continuare ad utilizzare Saraha con delle garanzie di privacy, la soluzione migliore è quella di farlo visitando il sito web, e senza quindi scaricare l’app. Sicuramente, però, se uno degli obiettivi di Sarahah era quello di “migliorare le nostre amicizie scoprendo i nostri punti di forza e le nostre debolezze” dopo questa notizia forse alcuni dei vostri amici vi odieranno per aver diffuso i loro contatti.