La popular aplicación Sarahah ha estado recolectando contactos y correos sin advertencia

Su desarrollador dice que la causa es «una función abandonada»

La app Sarahah básicamente explotó en cuestión de semanas. Con más de 18 millones de descargas alrededor del mundo, sus usuarios parecen estar disfrutando mucho la posibilidad de compartir «feedback anónimo», pero más allá del supuesto entretenimiento, el software tiene su lado oscuro. El investigador de seguridad Zachary Julian descubrió que Sarahah carga a la Web todos los teléfonos de contactos y direcciones de correo electrónico. Su comportamiento fue verificado en iOS y Android, pero el creador de la app reportó que la extracción está asociada a una función abandonada, la cual nunca se desactivó por completo…

En los últimos días he visto a varios de mis contactos publicar capturas de pantalla con las «críticas» que reciben a través de la aplicación Sarahah. Además de no estar muy impresionado (la app tiene múltiples problemas de rendimiento y estabilidad), todo lo que leído hasta ahora sugiere que la cortesía es en realidad un ejercicio de hipocresía. Sin embargo, hay otro aspecto aún más grave en este software, y es que le encanta recolectar información privada del usuario. Cuando una app gana popularidad, diferentes expertos en seguridad deciden analizar su comportamiento, y lo que descubrió el investigador Zachary Julian no es muy bonito que digamos…

Julian preparó un smartphone Samsung Galaxy S5 con Android Lollipop 5.1.1 y el software de monitoreo Burp Suite, que intercepta el tráfico en el dispositivo (entrante y saliente). Con la ayuda de Burp Suite, comprobó que Sarahah sube a la Web todos los contactos y direcciones de correo electrónico del usuario. Bajo versiones más modernas de Android y builds posteriores de iOS, la app solicita permiso para «acceder a los contactos», pero en la mayoría de los casos, la carga se realiza sin advertencia. Como si eso fuera poco, Julian descubrió que si el usuario no abre la app por un tiempo (menos de 48 horas), Sarahah envía los contactos otra vez.

La prensa especializada trató de hablar con los responsables de Sarahah, y luego de un breve silencio, su creador Zain al-Abidin Tawfiq comunicó vía Twitter que la lectura de contactos será eliminada en un build futuro, y que había sido pensada para la introducción de una función que permitiera «encontrar a tus amigos». Aparentemente, dicha función sufrió «múltiples problemas técnicos», y el socio encargado de eliminarla de la app (que dicho sea de paso ya no trabaja en Sarahah) nunca lo hizo. Al mismo tiempo, la función fue purgada en el servidor, y sus bases de datos no guardan ningún contacto. Por supuesto, esta declaración es imposible de verificar sin una apertura total del código de Sarahah y la auditoría correspondiente. Quien decida seguir usando Sarahah después de semejante descubrimiento, debería abandonar la app móvil e ingresar con su página web.

Deja tu voto

2 puntos
Upvote Downvote

Total votes: 2

Upvotes: 2

Upvotes percentage: 100.000000%

Downvotes: 0

Downvotes percentage: 0.000000%