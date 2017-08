Beveiligingsonderzoeker Zachary Julian, van Bishop Fox, ontdekte dat de anonieme feedback-app Sarahah stilletjes je volledige contactlijst uploadt naar eigen servers. "Zodra je inlogt in de applicatie, begint deze direct met het uploaden van e-mail adressen, telefoonnummers en andere gegevens, dit gebeurt zowel op de Android- als de iOS-versie," liet Julian weten in een interview met The Intercept.

De onderzoeker merkt op dat de app dit vaker doet, bijvoorbeeld als deze een tijdje niet is gebruikt. Julian ontdekte de dataverzameling toen hij werkte met de monitoring suite BURP.

It's not a bug, it's an unimplemented feature

Het team achter Sarahah reageerde in eerste instantie niet op vragen van de onderzoeker of The Intercept. Pas toen de bevindingen naar buiten werden gebracht reageerde de maker van de app, Zain al-Abidin Tawfiq dat de dataverzameling gebruikt zou worden voor een nog niet geïmplementeerde "find your friends feature".

Deze extra functionaliteit zit nog niet in de huidige versie van de app omdat de ontwikkelaars tegen technische problemen aanliepen en het was de bedoeling dat het verzamelen van de informatie uit de huidige versie van de app zou worden gehaald. Dit zou gedaan worden door een partner waar het bedrijf inmiddels geen zaken meer mee doet.

Gebruikers hoeven zich volgens Tawfiq geen zorgen te maken omdat deze feature aan de serverkant al wel is verwijderd waardoor er geen data is opgeslagen, dit is echter niet te verifiëren.

Toestemming

Hoewel de app wel netjes van tevoren vraagt om toestemming om bij de contacten te komen, maken verschillende beveiligingsonderzoekers toch grote zorgen. Het is namelijk niet duidelijk waar Sarahah de gegevens precies voor gebruikt. In de privacyverklaring staat alleen maar dat het verzamelde informatie niet verkoopt aan derden zonder toestemming van de gebruiker tenzij een deel van de bulk data wordt gebruikt voor statistieken en onderzoek.

Niet lezen

Daarnaast komt het ook veel te vaak voor dat gebruikers helemaal niet controleren welke privileges apps allemaal nodig hebben of klakkeloos op "accepteren" drukken als een app om (verregaande) permissies vraagt.

Controleer jij de permissies van je (geïnstalleerde) apps? Ja Nee online quiz creator

Op de volgende pagina: Het verzamelen in actie