Quando si parla di come difendere la privacy e i dati personali online, spesso e volentieri si fa riferimento alle autorizzazioni app che si concedono nel momento in cui si installa (o si utilizza per la prima volta) un'applicazione. In passato, ad esempio, si era scoperto che alcuni cybercriminali sfruttavano app "insospettabili", come quelle che trasformano il flash dello smartphone in torcia, per accedere ai dati degli utenti presenti sullo smartphone e trafugarle senza che l'utente ne sapesse nulla.
Un caso che sembra ripetersi con Sarahah, "l'app dell'onestà" che permette di inviare commenti e giudizi ai propri amici e conoscenti in maniera totalmente anonima. Un vero e proprio tormentone dell'estate 2017, tanto che l'app è balzata in vetta alle classifiche di download dei vari store online, mentre centinaia di migliaia di utenti in tutto il mondo hanno tentato di capire come funziona Sarahah per poter dire verità nascoste e segreti inconfessabili ai propri amici.
Un ricercatore statunitense è così arrivato a scoprire che Sarahah non è poi così anonima, né "disinteressata" ai dati degli utenti come inizialmente lasciava pensare. Sfruttando i permessi concessi – magari un po' troppo alla leggera – dagli utenti, l'app dell'onestà fa incetta di dati personali e informazioni riservate. Ecco quali.
Contatti e rubrica trasferiti sui server Sarahah
Come scoperto da Julian Zachary, analista di sicurezza informatica per Bishop Fox, gli sviluppatori Sarahah acquisiscono i contatti presenti nella rubrica dello smartphone e in quella della posta elettronica e li trasferiscono all'interno dei server Sarahah. Per farlo, ovviamente, chiedono le dovute autorizzazioni app agli utenti, ma il trasferimento avviene (ovviamente, viene da dire) senza che l'utente si accorga di nulla. Insomma, non si tratta assolutamente di un furto di dati dal momento che c'è il "nulla osta" da parte degli utenti, ma quanto meno ci si trova di fronte a un comportamento sui generis.
Nessun necessità
Una richiesta che, agli occhi di vari analisti di sicurezza informatica, appare poco condivisibile, oltre che giustificabile. Mentre app come WhatsApp necessitano dei contatti della rubrica per far messaggiare i propri utenti, Sarahah basa tutto sull'anonimato e sull'assoluta riservatezza. Nessuna funzionalità – almeno al momento – richiede l'accesso ai numeri di telefono o agli indirizzi di posta elettronica e non è dato sapere se con le prossime versioni ci sarà la possibilità di contattare più facilmente i propri amici. Insomma, al momento sembrerebbe non esserci alcuna necessità per richiedere l'accesso a dati così sensibili e personali.