Sarahah: l’app di messaggistica anonima accusata di ‘rubare’ i contatti degli utenti

1 settembre 2017
Pubblicato in Sicurezza Informatica

L'applicazione che permette di mandare e ricevere commenti anonimi è accusata di non rispettare la privacy di chi la utilizza, carpendo senza avvisare e senza motivo la rubrica degli indirizzi. Lo sviluppatore si difende e promette di rimuovere la funzione

È stata l’app dell’estate, non ci sono dubbi. Creata nel 2016 in Arabia Saudita, Sarahah ci ha messo quasi un anno a esplodere, ma oggi conta circa 14 mila utenti registrati e il servizio supera 20 milioni di visitatori al giorno.

Sarahah è stata l’app più scaricata dell’estate, prima nelle classifiche dei download in 25 Paesi. Insomma, un successo basato sulla voglia di anonimato di chi l’ha scaricata, perché quel che fa Sarahah  è proprio consentire l’invio e la ricezione di messaggi senza identificare l’autore. Un esperto di sicurezza informatica ha però lanciato l’allarme sulla privacy del servizio, accusato di esportare i contatti nella rubrica, sia telefonica sia di posta elettronica, degli iscritti.

Impossibile non conoscere questa app, che sembra però nascondere dentro di sé tante sfumature molto negative.

Cos’è Sarahah

Sarahah è un’app, disponibile per dispositivi iOs e Android, ed è una sorta di servizio di messaggistica istantanea che permette di inviare messaggi anonimi agli utenti iscritti sulla piattaforma, l’importante è conoscere il loro indirizzo personale.

Come racconta il suo creatore, Zain al Abidin Tawfiq, Sarahah (che in arabo vuol dire proprio onestà) nasce con l’obiettivo di aiutare i lavoratori a esprimere la propria opinione sui datori di lavoro, essendo “onesti” ma senza subire ritorsioni.

Ma non è per questo che l’app ha sbancato il botteghino.

La possibilità di inviare messaggi anonimi in modo decisamente facile e immediato ha fatto gola a tantissimi adolescenti (principali utilizzatori dell’app), che hanno iniziato a scaricarla, facendola diventare un fenomeno di massa prima in Egitto, poi in Canada, Stati Uniti, Australia e da questo agosto anche in Italia.

Come funziona

Capire il funzionamento di quest’app non è particolarmente difficile. Dopo averla scaricata bisogna semplicemente creare un proprio profilo (nomeutente.sarahah.com) che si può ricondividere sui propri profili social per invitare altri amici e utenti.

Fatto questo semplicissimo passaggio si potranno ricevere messaggi, e ciò significa che chiunque conosca il tuo username può scriverti – ovviamente in maniera anonima.

Inviare messaggi, invece, è ancora più facile.

Si apre l’app, si cerca l’username della persona a cui si vuole scrivere, si compone il testo e si manda. Non serve neanche fare il login.

Perché è pericolosa

Il più grande problema di Sarahah è l’anonimato.

Poter inviare messaggi di qualsiasi genere senza essere indentificati come mittenti è potenzialmente molto pericoloso per via dei contenuti che si possono scrivere.

Non mettiamo in dubbio che ci sia qualcuno che usa in modo corretto quest’app, ma essendo molto diffusa tra gli adolescenti Sarahah potrebbe favorire atti di (cyber)bullismo – come del resto era già successo su Ask.fm.

Il timore che i ragazzi più vulnerabili possano essere vittime di quest’applicazione è, dunque, senz’altro fondato.

Dati personali a rischio

Ad accusare Sarahah di furto dei contatti degli utenti è stato Zachary Julian, decano della sicurezza presso l’azienda Bishop Fox, che in un video ha mostrato il traffico dati conseguente all’installazione di Sarahah sul proprio smartphone Android: i contatti vengono esportati su un server esterno senza che Julian ne fosse consapevole. Inoltre Julian denuncia la mancanza di uno scopo dichiarato per tale sottrazione di dati personali (altrui tra l’altro). Le accuse sono state riprese dalla testata The Intercept, disseminando preoccupazione tra gli utenti.

Le spiegazioni e le promesse

Lo sviluppatore di Sarahah, il saudita Zain Alabdin Tawfiq, ha prontamente replicato all’articolo di The Intercept e in un tweet ha spiegato che l’utente viene informato quando avviene l’accesso ai propri contatti. Questo però non accade con le versioni più datate di Android, come quella usata da Julian, di qui l’equivoco. Inoltre il programmatore ha spiegato che la funzione era stata inclusa nell’app in un momento in cui si pensava di sviluppare anche la possibilità di trovare su Sarahah i propri amici e conoscenti, feature che poi non è stata completata ed è rimasta fuori dalla prima release del software. Tawfiq ha anche annunciato che l’esproprio dei contatti sarà eliminato dalle prossime versioni della app.

Chiarimenti e rischi

La querelle regge nonostante le apparenti contraddizioni, dato che in effetti Zachary Julian ha utilizzato una versione di Android non proprio aggiornata (la 5.1, oggi siamo alla 8.0). Sui sistemi operativi più recenti sia di Android che di iOs, Sarahah richiede l’autorizzazione ad accedere ai contatti degli utenti mentre viene installata sul dispositivo, e funziona anche in assenza di tale autorizzazione. In questo si comporta come altre app che domandano di accedere alla rubrica; solo che a differenza delle altre, poi di questi dati non se ne fa nulla, almeno apparentemente e almeno al momento. Le policy dell’app indicano che tutti i dati raccolti non verranno ceduti a terzi, ma il fatto che risiedano su server della cui sicurezza non si hanno garanzie non tranquillizza più di tanto. Il consiglio è di non concedere il consenso all’accesso ai contatti quando si installa, chi l’ha già installato puٍ andare a modificare le impostazioni, negandolo.

Zona grigia

Anche questa vicenda, che seppur non sembra avere risvolti illegali si muove in una zona grigia, ci ricorda quanto siano vulnerabili le nostre identità digitali e quanto spesso le gestiamo in modo superficiale, senza preoccuparci delle possibili conseguenze. Non si sa quali siano le reali intenzioni di Tawfiq, a sua parziale discolpa c’è il fatto che l’app gli è letteralmente esplosa tra le mani, conoscendo in pochissimi mesi un successo non preventivato. Era nata infatti come strumento per migliorare la comunicazione in azienda e nessuno si aspettava l’enorme numero di download (stando alle ultime dichiarazioni rilasciate a CNN l’app è stata scaricata 62 milioni di volte), causato anche dall’accordo con Snapchat che ha dato ai propri utenti la possibilità di far commentare anonimamente le proprie foto proprio con Sarahah. Non è da escludere quindi che il comportamento insolito dell’app sia dovuto ad approssimazione dello sviluppatore, e che non ci siano secondi fini. La prossima release di Sarahah sgombrerà il campo dai dubbi residui. Nel frattempo meglio non fidarsi nemmeno di chi si chiama ‘onesto’.

Logo

STAI UTILIZZANDO UNA VERSIONE DI INTERNET EXPLORER NON SUPPORTATA

Per navigare sul nuovo sito TWT è necessario aggiornare l’attuale browser con una versione supportata o scaricare l’ultima versione di Chrome, Firefox, Safari, Internet Explorer o Edge.

Per maggiori informazioni o per ricevere assistenza tecnica:
Numero verde: Aziende 800.192.800 – Reseller 800.192.888 Opzione 1 e 2
Email: support-direct@twt.it

YOUR WEB BROWSER IS NO LONGER SUPPORTED

If you’d like to use TWT new website we recommend you to download the latest version of Chrome, Firefox, Safari, Internet Explorer or Edge.

For further Information or Technical Assistance:
Freephone numbers: Companies 800.192.800 – Resellers 800.192.888 Option 1 and 2
E-Mail: support-direct@twt.it

Browser