r   e   k   l   a   m   a
r   e   k   l   a   m   a

Mobilny cud Sarahah: za anonimowe, szczere opinie zapłacisz swoimi danymi

Strona główna AktualnościOPROGRAMOWANIE

Na rynku oprogramowania dla urządzeń mobilnych pojawiają się czasem aplikacje, których popularności nie sposób wyjaśnić inaczej, jak celnym trafieniem w żywotną potrzebę społeczeństwa. Taką aplikacją jest Sarahah, pozwalająca użytkownikom uzyskać od ich znajomych szczerą opinię na każdy temat. Szczerą, gdyż anonimową. Wypowiedzieć może się każdy, bez obaw o konsekwencje dla znajomości. Z tej darmowej aplikacji korzysta już kilkanaście milionów osób… zaraz, darmowej? Nie do końca. Ceną okazała się prywatność użytkowników i ich dane.

Zarówno w AppStore jak i Google Play aplikacja stworzona przez bliżej nieznanego arabskiego programistę, Zaina al-Abidina Tawfiqa, bije rekordy popularności, mimo że nie towarzyszył jej żaden realny marketing. Ba, wydawałoby się, że deweloper Sarahah (po arabsku „dosadność”) robił wszystko, by nie nie znaleźć rozgłosu – nawet opis aplikacji w sklepie Google Play dostępny jest tylko po arabsku, języku niekoniecznie powszechnie znanym. Tymczasem w ciągu dwóch miesięcy od premiery, pobrało ją na iOS-a i Androida co najmniej 18 milionów użytkowników.

Aplikacja została faktycznie dobrze pomyślana, mimo że nic skomplikowanego nie robi. Po założeniu profilu i wgraniu swojego zdjęcia możemy poprzez sieci społecznościowe opublikować link do strony profilu, w subdomenie aplikacji (profil.sarahah.com). Tam każdy może coś napisać, a to co napisze, pojawi się w aplikacji, bez jakichkolwiek informacji, które mogłyby ujawnić pochodzenie komentarza. Aplikacja daje też możliwość wyszukiwania innych użytkowników po imieniu czy nazwie profilu i wysyłania im anonimowych wiadomości, co daje pewien potencjał do randek w ciemno.

Uważni użytkownicy zauważą jednak, że za każdym uruchomieniem Sarahah prosi o uprawnienia dostępu do kontaktów użytkownika. Bez tych uprawnień też się uruchomi, ze wszystkimi funkcjonalnościami, ale jeśli uprawnienia zostaną przyznane, to aplikacja zaczyna robić coś, o czym zwykły użytkownik już nie ma pojęcia – wysyła na serwer producenta całą listę kontaktów użytkownika.

Odkrył to Zachary Julian, analityk bezpieczeństwa z firmy Bishop Fox, który zainstalował Sarahah na swoim Galaxy S5 z Androidem 5.1. Generowany przez smartfon ruch sieciowy przechodził przez Burp Proxy, pozwalające monitorować pakiety i ustalić, co dokładnie jest wysyłane i pobierane. W momencie uruchomienia Sarahah, aplikacja wysyła wszystkie kontakty i dane z książki telefonicznej do producenta, nie informując o tym w żaden sposób. Co więcej, później takie próby wysyłania danych kontaktowych co pewien czas powtarza.

Odkrywca tego naruszenia prywatności skontaktował się z al-Abidinem Tawfiqem, by dowiedzieć się, że funkcja wysyłania kontaktów zostanie usunięta z przyszłych wydań. Miała ona służyć funkcji znajdowania znajomych, którą napisać miał jego były partner, obecnie już nie pracujący nad Sarahah. To że aplikacja wynosi dane użytkownika to tylko przejaw niedopatrzenia, nie są one w żaden sposób przetwarzane na serwerze. Jeśli wierzycie arabskiemu programiście, możecie przyznać aplikacji prawa dostępu do listy kontaktów, w przeciwnym wypadku lepiej tego nie robić.

Eksperci z branży bezpieczeństwa przyznają, że takie zachowanie aplikacji, szczególnie darmowych aplikacji, jest częstsze niż byśmy chcieli. Przyznanie uprawnień dostępu do prywatnych danych traktowane jest przez deweloperów jako zgoda na dowolne z nich korzystanie, włącznie z wynoszeniem ich na serwery producenta. Nad takimi danymi nie mamy już żadnej kontroli, można zrobić z nimi wszystko – i nawet jeśli sam producent nie ma złośliwych intencji, to nigdy nie wiadomo, czy nie stanie się ofiarą cyberataku w wyniku którego dane te zostaną upublicznione.

Rozwiązanie może przyjść jedynie ze strony producentów systemów operacyjnych, którzy umożliwiliby bardziej precyzyjną kontrolę uprawnień aplikacji. Zgoda na dostęp do książki adresowej nie oznacza automatycznie zgody na wysłanie takich danych do sieci. Pozostawienie tego w rękach niezależnych deweloperów sprawi, że los danych użytkowników będzie zależał tylko od polityki producentów oprogramowania. Oni mogą sobie w swoich politykach prywatności wypisywać zaś przeróżne rzeczy, ale kto sprawdzi ich realizację? Jeśli al-Abidin Tawfiq sięgnie po dane milionów użytkowników swojej aplikacji, czy ktoś napisze (po arabsku) pozew do sądu w Rijadzie?

Zainteresowani Sarahah znajdą ją w naszej bazie oprogramowania na Androida i iOS-a.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.