O Sarahah, o grande fenômeno para sistemas Android e iOS, responsável pelo envio de mensagens anônimas, pode estar fazendo mais que o prometido. De acordo com o analista de segurança Zachary Julian, o aplicativo copia toda a lista de contatos do usuário para os seus servidores logo após a instalação. Porém, isso não fica claro aos usuários, sendo que os objetivos da empresa também são desconhecidos.
O comportamento duvidoso do Sararah foi descoberto através do software de monitoramento BURP, que revela as conexões feitas no celular com servidores externos. Após instalar e realizar o login no aplicativo no seu aparelho Galaxy S5 com Android 5.1.1, o analista Julian observou que o programa começou a transmitir os números e também endereços de e-mails para todos os contatos armazenados do telefone.
Em seguida, o analista verificou se a mesma troca de dados acontecia através do iOS, porém, o sistema do iPhone pergunta ao usuário se quer autorizar o acesso à lista de contatos. O recurso em questão chegou ao Android somente nas versões 6.0 (Marshmallow) ou mais recente. Assim, donos de aparelhos mais antigos podem estar vulneráveis. O Sarahah, na Play Store, lista que acessa a agenda do telefone, com a informação escondida no fim da tela.
Zain al-Abidin Tawfiq, em resposta à publicação do Intercept, disse que a funcionalidade será removida já na próxima atualização. O desenvolvedor afirma que a intenção era utilizar os dados para que os usuários pudessem encontrar os seus amigos no serviço, no entanto, a função nunca foi disponibilizada.
O desenvolvedor diz também que a funcionalidade foi removida dos servidores e não há mais dados armazenados externamente.
😕 Poxa, o que podemos melhorar?
😃 Boa, seu feedback foi enviado!
✋ Você já nos enviou um feedback para este texto.