安全公司证实:Sarahah偷偷盗取用户资料!你还以为叫「诚实」的App就一定很诚实?!

最近,一款名为「诚实」的 App 突然火了起来,这款标榜着让用户可以匿名「说真话」的 App 以阿拉伯文命名,「Sarahah」意思就是诚实。

图片来源:Android Authority

▼目前估计全球约有 1800 万人已经安装了 Sarahah。用户只需在 App 上注册账号,并将链接分享在社交平台上,比如说 Facebook,其他人就能向你发送匿名信息。

图片来源:Cari

▼这款 App 最有趣的地方就是,你只能读取而并不能直接在 App 中回复信息,因此很多人就借由 Facebook 或其他社交平台来回复匿名者的信息。

图片来源:Cari

为什么需要这么麻烦呢?这就是 Sarahah 这么受欢迎的原因!此 App 被开发的目的就是让用户可以聆听到同时与朋友「最诚实」的声音,不过这款标榜诚实的 App 最近被踢爆竟然静悄悄地在收集用户的个人隐私!根据媒体《The Intercept》的报道,当用户首次登陆并开启这款 App 的时候,它会立即将用户的通讯录中所有电话号码和电邮传送至 Sarahah 公司的伺服器上。

▼虽然 iOS 用户使用时,Sarahah 会征求同意来连接通讯录的权限,但绝大部分人都会点「同意」。

图片来源:The Intercept

▼然而,事实上即便用户点「不用意」也能继续使用 Sarahah 这款 App。因为 Sarahah 说明是匿名,所以它根本不需要使用到通讯录上的资料,因此它向用户索取连接通讯录的行为似乎有点猫腻!

图片来源:Sarahah

这个猫腻随后被一家安全顾问公司的高级分析师拆穿!安全顾问公司 Bishop Fox 的一名高级分析师 Zachary Julian 发现,当他在 Android 手机上安装 Sarahah 后,这款 App 迅速收集并上载他的个人资料!Zachary 随后安装了一款名为 Burp Suite 的监控软件,可以拦截其电子设备所有进入和输出的互联网流量信息,从而让他可以查看发送到远程服务器的数据。果然,他发现只用他一开启 Sarahah 时,这款 App 就会悄悄地把他手机里的通讯录资料上载。后来,他也确认苹果的 iOS 设备也会出现同样的现象。

▼Zachary 更录制了一段视频来证明他对 Sarahah 的指控是真实的!

盗取用户资料的行为遭到拆穿后,Sarahah 创始人 Zain al-Abidin Tawfiq 立刻通过 Twitter 澄清说,上载用户的通讯录实际上是为了「Find Your Friend」功能,但因为技术问题,加上负责这项功能的伙伴已经停止合作,但上载通讯录的功能却还保留着。但他强调在下次更新应用时,这项功能将会移除,而服务器上也不会保留任何用户的通讯录信息。

图片来源:Zain al-Abidin Tawfiq / Twitter

他的说法你相信吗?应用几时会更新也没说?他说删除服务器里的信息你又知道他不会备份在另一个地方?对于这么「诚实」的人,你还敢继续使用这款应用只能说你的智商堪忧啊…

发表于: 2020-02-14 08:30:14 AM
更多新闻请到脸书追踪我们:我的分享平台

Be the first to comment

Leave a Reply

Your email address will not be published.


*