APP SARAHAH SUBE LOS CONTACTOS A LOS SERVIDORES DE LA EMPRESA

La popular aplicación Sarahah sube en silencio contactos telefónicos de los usuarios a los servidores de la compañía.

Este verano, Sarahah se convirtió en una de las aplicaciones para el iPhone más populares en el mundo, tanto para iOS y Android. Sarahah ha sido creado por Arabia desarrollador de Arabia Zain al-Abidin Tawfiq, que implementa una red social que permite a los usuarios enviar y recibir mensajes anónimos.

Sarahah significa “sinceridad” o “honestidad” en árabe, el nombre fue elegido porque el autor cree que la gente está más dispuesta a ser honesta, cuando sus mensajes son anónimos como la aplicación hace.

Hoy en día la aplicación Sarahah tiene más de 18 millones de usuarios que probablemente ignoran que la aplicación no puede ser tan privada como creen.

De acuerdo con un informe publicado por Intercept, la aplicación carga en silencio contactos telefónicos de los usuarios a los servidores de la compañía.

El descubrimiento fue realizado por el analista de seguridad Zachary Julian, que descubrió que una vez que los usuarios han instalado la aplicación Sarahah por primera vez, cosecha y carga datos en la libreta de direcciones.

“Zachary Julian, analista senior de seguridad de obispo Fox, descubrió de Sarahah carga de información privada cuando se instala la aplicación en su teléfono Android, un Galaxy S5 con Android 5.1.1. El teléfono fue equipado con el software de monitoreo conocido como BURP Suite, que intercepta el tráfico de Internet que entra y sale del dispositivo, lo que permite al propietario para ver qué datos se envían a servidores remotos.” Segun el informe publicado por Intercept,. “Cuando Julian lanzó Sarahah en el dispositivo, BURP suite llamó la aplicación en el acto de subir sus datos privados.

“Tan pronto como se conecte a la aplicación, se transmite todos sus contactos de correo electrónico y números de teléfono almacenados en el sistema operativo Android,” dijo. Más tarde se verificó lo mismo ocurre en el IOS de Apple, aunque después de una consulta a “contactos de acceso”, que también aparece en las versiones más recientes de Android. Julián también se dio cuenta de que si no se ha utilizado la aplicación desde hace tiempo, que va a compartir todos sus contactos de nuevo. Él hizo algunas pruebas en la aplicación en un viernes por la noche, y cuando se inicia la aplicación en un domingo por la mañana, que empujó a todos sus contactos de nuevo.”

De acuerdo con Zain al-Abidin Tawfiq, la funcionalidad de los contactos fue implementado inicialmente para que pueda “encontrar a tus amigos”. De todos modos sería eliminado en una versión futura.

Zachary Julian destacó que la política de privacidad no se menciona la posibilidad de subir datos a un servidor.

“La política de privacidad establece específicamente que si se planea usar sus datos, pedira su consentimiento”, dijo Julian. Mientras que la entrada de la aplicación en Google Play Store de sí indica la aplicación va a acceder a los contactos, que no es el “consentimiento suficiente” para justificar “el envío de todos los contactos otra vez sin ningún tipo de notificación específica”, agregó.

La buena noticia es que los usuarios pueden bloquear el acceso a la forma de aplicación de sus contactos.

Dado que Android 6.0 OS malvavisco, los usuarios pueden limitar los permisos para aplicaciones, basta con ir a Ajustes → Personal → Aplicaciones, ahora bajo Configuración de aplicación, abierta permiso a la aplicación y establecer el permiso de acuerdo a sus necesidades.


Fecha actualización el 2017-8-28. Fecha publicación el 2017-8-28. Categoría: Hackers. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
App Sarahah