「真心話」App Sarahah 過癮嗎?可他們正偷偷上傳你整個聯絡人資料啊!

最近在 Facebook 火紅的一個新 App Sarahah 你們有在玩嗎?這本來是沙地阿拉伯工程師寫出來,讓員工可匿名發表意見,向僱主以暢所欲言的一個網站,想不到大家對身邊的朋友有這麼多「想法」,令它變成了一個講「真心話」的地方,在短時間已經有 1,000 萬個下載。

可是你知道,他們正在秘密上載你的通訊錄嗎?

「真心話」玩出火?Sarahah 正在秘密上傳你的通訊錄!

Sarahah 是一款近來超火紅的 Apps ,它的玩法是你可以在上面註冊,然後朋友可以匿名的告訴你一些「真心話」,包括「你的腳真的很臭」,「你個人性格太火爆」等等平常說不出的話,但在玩之前,大家有想過原理嗎?根據一位資安專家 Zachary Julian 的資訊,在第一次啟動 Sarahah 的時侯,程式將會稍稍的上載你整個聯絡人資料,即使他們會問你取得權限(而你真的給了),但這的確引起很大回響。

根據 Zachary 的測試,他利用一台運行 Android 5.1.1 的 Samsung Galaxy S5 並以 BURP Suite 去監控手機動作,而在運行 Sarahah 的時侯,BURP Suite 明顯發現手機正在上載個人資料。他提到無論是 Android 還是 iOS ,程式都會自動把系統裡面的 email 與電話資料上傳,而它只要獲得一次權限, Sarahah 將會不斷上傳你的個人資料,如果你還不相信的話可以看他的測試影片

Sarahah 官方沒有正式回應事件,而沙地阿拉拍的陬開者 Zain al-Abidin Tawfiq 在 Twitter 提到在下一個版本上面將會移除這個功能,而他特別提到這個功能是為了「 Find you friends 」而特別設置的,而把功能留下原是一個意外。雖然他本人說所有的聯絡人資料都從 Sarahah 伺服器移除,我們是無法去確認這件事的真偽。

現時 Sarahah 已經有超過 1,000 萬的用家,而這次事件的問題是大家沒有預想到個人資訊會如此被使用。即使在 iOS 需要用家批準使用個人資料,但沒有人預計這會完整的上載到資料庫;而 Android 方面在下載的時侯已經提到用家權限,但大眾對這件事的認知並不足夠。

的確有時程式需要用家「聯絡人資訊」,但如何通知他們資料將會被使用,也是相當重要的。不知道這次的事件會否令你對 Sarahah 或者是沙地阿拉伯的程式印象扣分呢?留言分享下吧!

引用來源:The Intercept

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

限制時效已用盡。請重新載入驗證碼。