The Intercept vừa thông tin phát hiện của Zachar Julian, một chuyên gia bảo mật của Bishop Fox. Anh đã phát hiện ứng dụng trên smartphone của Sarahah âm thầm tải danh bạ về máy chủ.
Theo đó, sau khi Sarahah được cài đặt vào điện thoại, danh bạ của người dùng sẽ bị sao chép và chuyển về máy chủ của nó.
Sarahah là một ứng dụng giúp người dùng có thể nhận được những tin nhắn từ người gửi vô danh. Cách thức hoạt động của nó khá giống với Ask.fm nhưng Sarahah đã bắt trend tốt hơn khi cho phép chia sẻ những nội dung tin nhắn có dạng hình ảnh với nền riêng (tương tự Facebook). Chính vì thế nó nhanh chóng được người dùng đón nhận, đến nay theo ghi nhận đã có 18 triệu lượt tải từ hai kho ứng dụng Apple và Google Play. Sarahah cũng đứng thứ 3 trong top những phần mềm miễn phí được tải nhiều nhất trên iPhone và iPad.
Còn theo chuyên gia phân tích bảo mật Zachary Julian tại Bishop Fox, anh khám phá ra sau khi cài ứng dụng lên chiếc Galaxy S5 chạy Android 5.1.1. Sarahah đã thầm lặng tải những thông tin riêng tư lên máy chủ.
Chiếc smartphone này dù có hệ điều hành khá cũ, nhưng đã được anh cài Burp Suite, ứng dụng theo dõi và ngăn chặn các lưu lượng internet vào/ra khỏi thiết bị, nó cũng cho phép người dùng theo dõi dữ liệu nào được gửi đến các máy chủ. Và khi khởi chạy Sarahah, Julian thấy Burp Suite phát hiện ứng dụng này tải dữ liệu cá nhân của anh lên máy chủ của nó.
Anh nói: “Ngay khi bạn đăng nhập, nó sẽ truyền tất cả địa chỉ email và danh bạ điện thoại của bạn.” Anh cũng đã bắt bặp điều tương tự xảy ra trên iOS của Apple, mặc dù cũng xuất hiện thông báo là Sarahah sẽ “truy cập vào địa chỉ liên lạc” (Access Contacts) – điều cũng xuất hiện trong các phiên bản mới hơn của Android.
Julian cũng nhận thấy rằng nếu bạn không sử dụng ứng dụng trong một thời gian, nó sẽ chia sẻ lại tất cả các địa chỉ liên hệ của bạn. Anh đã làm một số thử nghiệm của ứng dụng vào đêm thứ sáu, và khi khởi động Sarahah vào sáng Chủ nhật, nó lại đẩy tất cả các địa chỉ liên lạc của anh một lần nữa.
Video thử nghiệm của Julian trên ứng dụng Sarahah
Nhà phát triển ứng dụng Sarahah là Zain al-Abidin Tawfiq ban đầu không bình luận. Tuy nhiên sau đó, ông đăng trên Twitter là chức năng liên lạc sẽ được gỡ bỏ ở bản phát hành trong tương lai và thanh mình là nó “được dành cho tìm kiếm bạn bè của bạn.”
Ông sau đó nói với The Intercept các tính năng có “vấn đề kỹ thuật” và các danh bạ đã được gỡ bỏ khỏi máy chủ của Sarahah, nhưng điều này khó có thể xác minh.
Và khi cài đặt, ứng dụng Sarahah trên iOS và Android đều yêu cầu cấp quyền truy cập danh bạ. Nếu từ chối, người dùng sẽ không thể dùng được ứng dụng. Hiện vẫn chưa rõ Sarahah dùng những danh bạ thu thập được để làm gì, dù rằng thoả thuận sử dụng có nói là nhà phát triển sẽ không bán chúng cho những đối tác mà không có sự đồng ý bằng văn bản.
Tham khảo: The Intercerpt