有玩這個apps 【Sarahah】的朋友們可要當心了,分分鐘資料被偷竊了也不知道。
Sarahah到底是什么来头?
这款社交软件的名称取自于阿拉伯语“ Sarahah ”,翻译过来的意思就是“诚实”。怎么个诚实法?那就是在这款软件上面,只允许其他人对你发送匿名消息但你却不能够回复。它的使用方法也很粗暴,只要你在这款软件上成功注册了账号,然后直接将链接分享到其他平台,任何人便都可以进入给你发送留言,并且只有你和双方可以看到。
这款社交软件由阿拉伯程序员 Zain al-Abidin Tawfiq 开发,于今年2月份正式上线,上线两个月的时间便获得了2000W的注册用户、2.7亿条评论,一跃成为成为阿拉伯国家最受欢迎的应用之一。6月13日,英文版Sarahah正式对外发布,10天之内就冲到了App Store榜首。六月,它正式登陆美国,在一个月的时间里便以坐火箭的速度迅速拿下APP STORE免费应用榜首位,收到大批青少年用户的火热追捧,并一路火到了亚洲。
Sarahah 以“收集同事与朋友对你的诚实回馈”为开发目的,不过看来这款应用收集的不仅仅是匿名信息,还包括用户手机里的其他资料。
根据海外媒体 TheIntercept 报道:
当用户首次登录并开启这款应用时,它会随即将用户通讯录中的所有电话号码与邮址上传到公司的伺服器上。虽然在某些情况下,Sarahah 会征求用户的同意以便进接通讯录,不过即使用户说不,也能继续使用这款应用。然而,这款应用里并没有通讯列表,但不能以电话号码来找人,也不像其他应用那样,主动显示通讯里的哪些人已在使用这款应用,为此 Sarahah 进接手机通讯录的做法确实说不过去。
安全顾问公司 Bishop Fox一名高级分析师 Zachary Julian 发现,当他在安卓手机(三星 Galaxy S5)下载 Sarahah 应用后,这款应用迅速收集并上载他的个人信息。Zachary Julian 安装了一款名为 BURP Suite 的监控软件,可以拦截进入和输出电子设备的互联网流量信息,从而允许手机用户查看发送到远程服务器的数据。当他在手机开启 Sarahah 应用时,BURP Suite 发现,这款应用悄悄上载了他手机里的通讯资料与电子邮件地址。后来,他再确认一次,发现苹果 iOS 也出现同样的现象。数据分析师这就进行了一项测试,以视频力证这款 APP 默默盗用手机上的个人信息!
Sarahah 应用创始人 Zain al-Abidin Tawfiq 透过推特回应说,上载手机里的通讯录是为了“Find your friend” 功能,但基于技术问题,加上负责删除这项功能的伙伴已经停止合作,但上载通讯录的功能还未被删除,不过他强调,下次更新应用时,这项功能将被撤出,而服务器上也不会保留任何通讯录信息。但这款应用什么时候更新?更新后是否“诚实一点”?而公司服务器里是否不再保留任何截取的信息?目前没有人说得准。