Anonima ma non troppo: Sarahah, l’app del momento, copia i contatti presenti nelle rubriche degli utenti e li deposita su un server esterno. Privacy in pericolo.
Circa 18 milioni di persone l’hanno scaricata sui loro iPhone e smartphone Android: è l’app di Sarahah che, quest’estate, ha spopolato sui social network. Nata dall’idea di un giovane saudita per permettere agli impiegati di comunicare in modo “onesto” con i loro datori di lavoro, l’app è subito diventata virale sui social, allontanandosi parecchio dall’obiettivo iniziale: amici, nemici e conoscenti sono stati messi alla gogna, diventando il passatempo preferito di quest’estate 2017.
Al di là del rischio che, in barba all’onestà, l’app venga utilizzata per diffondere messaggi di odio e incoraggiare fenomeni di bullismo, pare che Sarahah, però, abbia un’altra grande pecca che non risiede nei messaggi anonimi ma nelle ambigue impostazioni della privacy che non sembrano tutelare gli utenti che l’hanno installata sul proprio cellulare. L’applicazione sarebbe, infatti, in grado di acquisire i contatti presenti nelle rubriche telefoniche di chi la scarica, depositandoli poi su un server esterno. È vero che ciò avviene per la maggior parte delle applicazioni e che, quando viene installata, Sarahah richiede l’autorizzazione per accedere ai contatti della rubrica, ma l’avviso è piuttosto generico e non è affatto chiaro quale sia il reale scopo di questa raccolta.
La notizia è stata pubblicata sulla rivista The Intercept, e a scoprire l’inghippo è stato Zachary Julian, esperto di sicurezza informatica, che ha installato l’app sul proprio dispositivo Android e l’ha monitorata attraverso un software il flusso di dati in entrata e uscita verso server esterni. Avviando Sarahah, Julian si è accorto che l’applicazione inviava diverse informazioni personali contenute nella rubrica: “Non appena fai il login, l’app trasmette tutti i tuoi contatti email e telefonici memorizzati nel tuo Android”. Quindi, i contatti presenti in rubrica non solo vengono intercettati dall’applicazione ma esportati anche all’esterno. Non è ben chiaro dove e a quale scopo.
L’ideatore di Sarahah, Zain al-Abidin Tawfiq, si è subito difeso su Twitter spiegando che la funzione per accedere ai propri contatti era stata inserita con l’idea di segnalare l’app ai propri amici con una sorta di funzione “Trova i tuoi amici” già presente in molte altre app. In realtà, però, pare che il giovane saudita abbia già fatto un passo indietro, dichiarando che la funzione per accedere ai contatti e inviarli ai server dell’app sarà disattivata nel prossimo aggiornamento.
Nel frattempo, chi ha già installato l’applicazione, può revocare i permessi per l’accesso alla rubrica dalle impostazioni per la privacy del proprio smartphone: questo non eliminerà i precedenti dati inviati ma eviterà che l’app continui a inviare nuovi dati ai server dell’app. A chi non vuole proprio rinunciare a Sarahah, inoltre, gli esperti consigliano di utilizzare la versione web in cui è possibile iscriversi senza dover condividere alcun contatto.