Me

Così Sarahah prende i dati dalla vostra rubrica senza che voi lo sappiate

Lo ha scoperto un esperto di sicurezza informatica, che ha mostrato come sia importante proteggere la propria privacy quando si ha a che fare con applicazioni gratuite di questo tipo

Immagine di copertina

Sarahah è un’applicazione gratuita, sviluppata in Arabia Saudita, che permette di mandare e ricevere messaggi in completo anonimato. Oltre 18 milioni di persone l’hanno scaricata sui loro dispositivi Apple e Google, raccogliendo in breve tempo un enorme successo.

Il 27 agosto The Intercept – sito specializzato in inchieste su temi di carattere informatico – ha pubblicato un articolo che spiega come Sarahah raccoglie i dati dalle rubriche degli utenti in maniera poco trasparente.

Zachary Julian, un’analista specializzato in cybersicurezza, ha notato che l’applicazione, una volta installata, carica su server remoti numeri di telefono e contatti personali, senza specificarne però il loro utilizzo.

In pratica, Sarahah chiede ai propri utenti il consenso ad accedere ai dati della loro rubrica, ma non dice due cose importanti: che oltre a consultarli, li caricherà su componenti esterne – i server appunto; e per cosa se ne servirà.

Julian ha anche scoperto che se viene negato il consenso alla app di accedere a un certo tipo di informazioni presenti sullo smartphone, Sarahah prova ripetutamente a raccogliere i contatti, soprattutto se non viene utilizzata per un certo periodo di tempo.

Zain al-Abidin Tawfiq, creatore di Sarahah, ha detto su Twitter che la raccolta dei dati sarebbe servita per una funzione ancora non rilasciata per problemi tecnici. Questa nuova opzione avrebbe permesso agli utenti di trovare con maggiore facilità gli altri amici presenti sull’applicazione, proprio grazie all’uso dei dati presi dalle rubriche.

Tawfiq ha chiarito che questa opzione sarà rimossa nel prossimo aggiornamento dell’applicazione e che Sarahah non conserverà più numeri e contatti sui suoi server esterni. Questa risposta però non convince: come facciamo a sapere se sarà davvero così, non potendo accedere di persona ai server dove sono conservati questi dati?

Perché è importante parlarne

“Se non stai pagando per un servizio, allora tu sei il prodotto”. Questa frase è uno dei mantra di chi si occupa di privacy in ambito tecnologico. Applicazioni come Snapchat, Facebook e Instagram sono tutte gratuite, ma trovano nei dati che gli utenti mettono a loro disposizione una miniera d’oro. Li usano per implementare funzioni utili all’applicazione stessa (come “Amici che potresti conoscere”), ma anche per profilare gli utenti e avere enormi ritorni, per esempio, dal punto di vista della vendita di inserzioni pubblicitarie.

In questo caso, basta poco per capire che Sarahah ha a disposizione milioni di numeri e contatti email, ed è bene preoccuparsene per almeno due motivi:

• Non conosciamo l’utilizzo che viene fatto di questi dati.
• Non sappiamo se i server su cui sono stati caricati abbiano livelli di sicurezza tali da non essere violati.

Per quanto riguarda il primo problema, Tawfiq ha spiegato che le informazioni non sono state – e non saranno – vendute a terze parti. Ma le informazioni a nostra disposizione rimangono ancora poco chiare.

Sui livelli di sicurezza, l’incertezza è ancora più alta. In generale, è sconsigliato dare dati sensibili come quelli della rubrica a piccole aziende, che non hanno le risorse di Google e Facebook per proteggere i propri utenti da hacker o soggetti mal intenzionati.

Cosa fare per proteggersi

In questo clima di incertezza, è necessario avere l’accortezza di seguire quattro semplici passaggi. Costosi in termini di tempo, ma utili per evitare spiacevoli sorprese:

  1. Capire con quali applicazioni si ha a che fare: sono sviluppate da grandi organizzazioni o da soggetti dubbi, che non chiariscono con trasparenza i termini di utilizzo?
  2. Modificare i permessi concessi alle applicazioni: sia i dispositivi Apple che quelli Android offrono la possibilità nella sezione Impostazioni di decidere quali permessi concedere alle singole app.
  3. Controllare le condizioni di uso: sono lunghe e scritte in gergo tecnico, ma alcune frasi potrebbero rivelare che la app in questione è poco affidabile.
  4. Aggiornare il sistema operativo e le applicazioni: questo accorgimento consente di avere dispositivi protetti con nuove misure che risolvono problemi presenti nelle versioni precedenti.

Nel caso specifico di Sarahah, le opzioni a disposizione sono disinstallare l’applicazione o usarla nella versione web.