Mobilny cud Sarahah: za anonimowe, szczere opinie zapłacisz swoimi danymi
Na rynku oprogramowania dla urządzeń mobilnych pojawiają sięczasem aplikacje, których popularności nie sposób wyjaśnićinaczej, jak celnym trafieniem w żywotną potrzebę społeczeństwa.Taką aplikacją jest Sarahah, pozwalająca użytkownikom uzyskać odich znajomych szczerą opinię na każdy temat. Szczerą, gdyżanonimową. Wypowiedzieć może się każdy, bez obaw o konsekwencjedla znajomości. Z tej darmowej aplikacji korzysta już kilkanaściemilionów osób… zaraz, darmowej? Nie do końca. Ceną okazała sięprywatność użytkowników i ich dane.
Zarówno w AppStore jak i Google Play aplikacja stworzona przezbliżej nieznanego arabskiego programistę, Zaina al-Abidina Tawfiqa,bije rekordy popularności, mimo że nie towarzyszył jej żadenrealny marketing. Ba, wydawałoby się, że deweloper Sarahah (poarabsku „dosadność”) robił wszystko, by nie nie znaleźćrozgłosu – nawet opis aplikacji w sklepie Google Play dostępnyjest tylko po arabsku, języku niekoniecznie powszechnie znanym.Tymczasem w ciągu dwóch miesięcy od premiery, pobrało ją naiOS-a i Androida co najmniej 18 milionów użytkowników.
?? ???? #?????_????? @ZainAlabdin878 ????? ??????? ???? ?????? ?? #??????_??????? ? ??????? ????????? ???????? ??? ??? ????????#????? pic.twitter.com/pt64jAqynB
— #??????_??????? (@akhbarcom4) August 15, 2017Aplikacja została faktycznie dobrze pomyślana, mimo że nicskomplikowanego nie robi. Po założeniu profilu i wgraniu swojegozdjęcia możemy poprzez sieci społecznościowe opublikować link dostrony profilu, w subdomenie aplikacji (profil.sarahah.com). Tamkażdy może coś napisać, a to co napisze, pojawi się w aplikacji,bez jakichkolwiek informacji, które mogłyby ujawnić pochodzeniekomentarza. Aplikacja daje też możliwość wyszukiwania innychużytkowników po imieniu czy nazwie profilu i wysyłania imanonimowych wiadomości, co daje pewien potencjał do randek wciemno.
Uważni użytkownicy zauważą jednak, że za każdymuruchomieniem Sarahah prosi o uprawnienia dostępu do kontaktówużytkownika. Bez tych uprawnień też się uruchomi, ze wszystkimifunkcjonalnościami, ale jeśli uprawnienia zostaną przyznane, toaplikacja zaczyna robić coś, o czym zwykły użytkownik już nie mapojęcia – wysyła na serwer producenta całą listę kontaktówużytkownika.
Odkrył to Zachary Julian, analityk bezpieczeństwa z firmy BishopFox, który zainstalował Sarahah na swoim Galaxy S5 z Androidem 5.1.Generowany przez smartfon ruch sieciowy przechodził przez BurpProxy, pozwalające monitorować pakiety i ustalić, co dokładniejest wysyłane i pobierane. W momencie uruchomienia Sarahah,aplikacja wysyła wszystkiekontakty i dane z książki telefonicznej do producenta, nieinformując o tym w żaden sposób. Co więcej, później takie próbywysyłania danych kontaktowych co pewien czas powtarza.
Odkrywca tego naruszenia prywatności skontaktował się zal-Abidinem Tawfiqem, by dowiedzieć się, że funkcja wysyłaniakontaktów zostanie usunięta z przyszłych wydań. Miała ona służyćfunkcji znajdowania znajomych, którą napisać miał jego byłypartner, obecnie już nie pracujący nad Sarahah. To że aplikacjawynosi dane użytkownika to tylko przejaw niedopatrzenia, nie są onew żaden sposób przetwarzane na serwerze. Jeśli wierzyciearabskiemu programiście, możecie przyznać aplikacji prawa dostępudo listy kontaktów, w przeciwnym wypadku lepiej tego nie robić.
Eksperci z branży bezpieczeństwa przyznają, że takiezachowanie aplikacji, szczególnie darmowych aplikacji, jest częstszeniż byśmy chcieli. Przyznanie uprawnień dostępu do prywatnychdanych traktowane jest przez deweloperów jako zgoda na dowolne znich korzystanie, włącznie z wynoszeniem ich na serwery producenta.Nad takimi danymi nie mamy już żadnej kontroli, można zrobić znimi wszystko – i nawet jeśli sam producent nie ma złośliwychintencji, to nigdy nie wiadomo, czy nie stanie się ofiarącyberataku w wyniku którego dane te zostaną upublicznione.
Rozwiązanie może przyjść jedynie ze strony producentówsystemów operacyjnych, którzy umożliwiliby bardziej precyzyjnąkontrolę uprawnień aplikacji. Zgoda na dostęp do książkiadresowej nie oznacza automatycznie zgody na wysłanie takich danychdo sieci. Pozostawienie tego w rękach niezależnych deweloperówsprawi, że los danych użytkowników będzie zależał tylko odpolityki producentów oprogramowania. Oni mogą sobie w swoichpolitykach prywatności wypisywać zaś przeróżne rzeczy, ale ktosprawdzi ich realizację? Jeśli al-Abidin Tawfiq sięgnie po danemilionów użytkowników swojej aplikacji, czy ktoś napisze (poarabsku) pozew do sądu w Rijadzie?
