O Sarahah, último fenômeno de downloads para Android e iOS, pode estar fazendo mais do que permitir o envio de mensagens anônimas. Segundo o analista de segurança Zachary Julian, o programa copia toda a lista de contatos do usuário para os seus servidores logo após a instalação. No entanto, isso não fica claro para os usuários, e os objetivos da empresa também são desconhecidos.
O comportamento estranho no Sarahah foi descoberto através do software de monitoramento BURP, que revela todas as conexões feitas no celular com servidores externos. Após instalar e fazer login no aplicativo no seu Galaxy S5 com Android 5.1.1, o analista Zachary Julian observou que o programa começou a transmitir os números e endereços de e-mail de todos os contatos armazenados no telefone.
O analista, em seguida, verificou se a mesma troca de dados ocorria no iOS, mas o sistema do iPhone ao menos pergunta se o usuário quer autorizar o acesso à lista de contatos. O mesmo recurso chegou ao Android somente nas versões 6.0 (Marshmallow) ou mais recentes, mas donos de aparelhos antigos podem estar vulneráveis. Na Play Store, o Sarahah lista que acessa a agenda do telefone, porém a informação fica escondida no fim da tela.
Em resposta à matéria publicada pelo Intercept, o criador do aplicativo, Zain al-Abidin Tawfiq, afirmou que a funcionalidade será removida na próxima atualização. Segundo o desenvolvedor, a intenção era usar os dados para que os usuários encontrassem seus amigos no serviço, mas a função nunca foi disponibilizada.
Ainda em resposta à publicação, Zain al-Abidin Tawfiq afirmou que a funcionalidade já foi removida dos servidores e não há mais dados armazenados externamente. Contudo, é impossível verificar a veracidade dessa informação. Enquanto isso, o Sarahah continua subindo os dados, inclusive refazendo o upload após longo período sem uso do aplicativo.
O compartilhamento desse tipo de informação pessoal é pratica comum entre os aplicativos para os smartphones, especialmente os gratuitos. No entanto, ainda que o programa seja da confiança do usuário, os dados podem estar em risco por causa de brechas de seguranças nos servidores nos quais estão armazenados. Por isso, todo o cuidado é pouco.
Para revogar o acesso de informações no Android, o usuário pode acessar seguir o caminho Configurações > Aplicativo > Nome do app > Permissões. Já no iPhone ou iPad, basta a opção “Privacidade” em ajustes, escolher o tipo de dados concedido e revogar o acesso do aplicativo.