Ứng dụng Sarahah tên là “trung thực” nhưng lại không trung thực, vì nó đã âm thầm lấy các dữ liệu và thông tin liên lạc của bạn lên máy chủ của Sarahah.
Trong những ngày qua, mọi người đều đang nói về Sarahah, ứng dụng nhắn tin nặc danh được dùng trên Facebook, Twitter, Instagram hoặc Snapchat.
Dành cho những người chưa biết, ‘Sarahah’ theo tiếng Ả Rập có nghĩa là ‘trung thực’, là một ứng dụng cho phép người dùng gửi tin nhắn nặc danh cho những người khác. Được tạo ra bởi nhà phát triển Zain al-Abidin Tawfiq của Saudi Arab, ứng dụng này nhằm giúp mọi người xác định điểm mạnh và điểm yếu của họ. Tuy nhiên, người dùng không có cách nào biết ai đã gửi tin nhắn hoặc cách nào để trả lời họ.
“Sarahah giúp bạn khám phá thế mạnh và phạm vi của bạn để cải tiến bằng cách nhận phản hồi trung thực từ nhân viên và bạn bè một cách riêng tư”, theo mô tả ứng dụng giải thích.
Tuy nhiên, giờ đây, dường như ứng dụng đang thu thập nhiều hơn những thông tin phản hồi. Rõ ràng, ứng dụng đang tải lên số điện thoại và địa chỉ email của người dùng trong danh bạ tới các máy chủ của công ty, được phát hiện bởi Zachary Julian, chuyên gia phân tích an ninh cao cấp của Bishop Fox khi ông cài đặt ứng dụng trên điện thoại thông minh Android của mình, một chiếc Galaxy S5 chạy Android 5.1.1.
Khi thông tin này được báo cáo bởi The Intercept, Zain al-Abidin Tawfiq đã trả lời trên Twitter rằng ứng dụng thu thập danh bạ của người dùng cho tính năng “tìm bạn quanh đây”, vốn đã được lên kế hoạch từ trước nhưng vì lý do kỹ thuật nên chưa được tích hợp.
Giờ đây anh ta tuyên bố rằng chức năng đó đã bị xóa khỏi máy chủ và yêu cầu dữ liệu sẽ được gỡ bỏ trong bản cập nhận. Anh cũng thông báo trên Twitter rằng Sarahah hiện không lưu trữ danh bạ người dùng trong cơ sở dữ liệu của nó, điều mà không thể xác thực được.
Nguồn tin từ The Intercept chứng minh rằng Sarahah đang cập nhật địa chỉ danh bạ
Sarahah đã âm thầm lấy dữ liệu cá nhân của người dùng
Julian, chuyên gia phân tích an ninh cao cấp của Bishop Fox, phát hiện ra hành vi của Sarahah bằng cách sử dụng BURP Suite, một máy phân tích lưu lượng dùng để đánh chặn lưu lượng internet vào và ra khỏi thiết bị, cho phép chủ sở hữu xem dữ liệu nào được gửi đến các máy chủ từ xa. Khi Julian khởi chạy Sarahah trên thiết bị, BURP Suite đã bắt gặp hoạt động tải dữ liệu cá nhân của mình trên ứng dụng.
Ông nói: “Ngay khi bạn đăng nhập vào ứng dụng, nó sẽ truyền tất cả các địa chỉ email và danh bạ lưu trữ trên hệ điều hành Android”. Sự xuất hiện tương tự sau đó cũng được xác định trên iOS của Apple, mặc dù sau khi nhắc nhở “truy cập danh bạ”, điều này cũng xuất hiện trong các phiên bản mới hơn của Android.
Sự xuất hiện trên chắc chắn rằng nơi nào đó trên ứng dụng quan tâm đến danh bạ của bạn. Ví dụ: trên iOS, ứng dụng cho biết “ứng dụng cần truy cập vào danh bạ của bạn để cho bạn biết ai có tài khoản ở Sarahah” và cho phép người dùng chọn giữa “Okay” và “Do not allow.” Mặt khác, trong một số trường hợp trên Android, ứng dụng yêu cầu quyền truy cập vào địa chỉ liên hệ mà không đưa ra bất kỳ lời giải thích nào cho yêu cầu truy cập như vậy, trong khi trong các trường hợp khác, nó không yêu cầu như vậy. Trên cả iOS và Android, không có đề cập đến dữ liệu được tải lên máy chủ.
“Chính sách bảo mật nói rõ rằng nếu có kế hoạch sử dụng dữ liệu của bạn, họ sẽ yêu cầu sự đồng ý của bạn”, Julian nói. “Mặc dù trong danh sách ứng dụng trên Google Play Store cho thấy ứng dụng sẽ truy cập vào danh bạ, nhưng đó không phải là “đủ sự thỏa đáng”để biện minh cho việc “gửi tất cả những địa chỉ liên lạc đó mà không có bất kỳ thông báo cụ thể nào”, ông nói thêm. Mặt khác, ứng dụng trên nền tảng iOS tuyên bố sử dụng dữ liệu liên lạc trong danh bạ của người dùng để cho họ biết danh sách bạn bè của họ dùng Sarahah, mà thực sự nó không làm, cho thấy việc thử nghiệm được thực hiện bởi Julian”.
Mặc dù chính sách bảo mật của ứng dụng cho biết rằng “Chúng tôi sẽ không bao giờ bán dữ liệu mà bạn cung cấp cho bất kỳ bên thứ ba nào nếu không có sự đồng ý trước và văn bản thỏa thuận. Trừ khi nó là một phần của phần lớn dữ liệu sử dụng cho việc thống kê, nghiên cứu và nó sẽ không chứa bất kỳ dữ liệu nào để xác định bạn. Điều đó cam kết như một phần của marketing cá nhân”, nó không phải là hoàn toàn rõ ràng như những gì Sarahah dùng để tải danh bạ của bạn.
Đối với những người thực sự muốn sử dụng Sarahah và quan tâm đến sự riêng tư của họ có thể thoải mái từ thực tế rằng họ không yêu cầu tải ứng dụng để sử dụng dịch vụ. Thay vào đó, bạn có thể tự đăng ký vào Sarahah thông qua một trang web, sau đó bạn được phép gửi và nhận tin nhắn. Trang web không yêu cầu hoặc yêu cầu quyền truy cập vào địa chỉ liên hệ của bạn trong danh bạ để bạn có thể sử dụng Sarahah.
Theo tác giả Kavita Iyer (Trang TechWorm)
