Beveiligingsonderzoeker Zachary Julian, van Bishop Fox, ontdekte dat de anonieme feedback-app Sarahah stilletjes je volledige contactlijst uploadt naar eigen servers. "Zodra je inlogt in de applicatie, begint deze direct met het uploaden van e-mail adressen, telefoonnummers en andere gegevens, dit gebeurt zowel op de Android- als de iOS-versie," liet Julian weten in een interview met The Intercept.

De onderzoeker merkt op dat de app dit vaker doet, bijvoorbeeld als deze een tijdje niet is gebruikt. Julian ontdekte de dataverzameling toen hij werkte met de monitoring suite BURP.

It's not a bug, it's an unimplemented feature

Het team achter Sarahah reageerde in eerste instantie niet op vragen van de onderzoeker of The Intercept. Pas toen de bevindingen naar buiten werden gebracht reageerde de maker van de app, Zain al-Abidin Tawfiq dat de dataverzameling gebruikt zou worden voor een nog niet geïmplementeerde "find your friends feature".

Deze extra functionaliteit zit nog niet in de huidige versie van de app omdat de ontwikkelaars tegen technische problemen aanliepen en het was de bedoeling dat het verzamelen van de informatie uit de huidige versie van de app zou worden gehaald. Dit zou gedaan worden door een partner waar het bedrijf inmiddels geen zaken meer mee doet.

Gebruikers hoeven zich volgens Tawfiq geen zorgen te maken omdat deze feature aan de serverkant al wel is verwijderd waardoor er geen data is opgeslagen, dit is echter niet te verifiëren.

Toestemming

Hoewel de app wel netjes van tevoren vraagt om toestemming om bij de contacten te komen, maken verschillende beveiligingsonderzoekers toch grote zorgen. Het is namelijk niet duidelijk waar Sarahah de gegevens precies voor gebruikt. In de privacyverklaring staat alleen maar dat het verzamelde informatie niet verkoopt aan derden zonder toestemming van de gebruiker tenzij een deel van de bulk data wordt gebruikt voor statistieken en onderzoek.

Niet lezen

Daarnaast komt het ook veel te vaak voor dat gebruikers helemaal niet controleren welke privileges apps allemaal nodig hebben of klakkeloos op "accepteren" drukken als een app om (verregaande) permissies vraagt.

Controleer jij de permissies van je (geïnstalleerde) apps?
Ja
Nee
online quiz creator
Op de volgende pagina: Het verzamelen in actie

Het verzamelen van zulke data komt vaker voor dan mensen denken, zegt Drew Porter, oprichter van beveiligingsbedrijf Red Mesa, zeker bij gratis apps. Naast het feit dat gebruikers blindelings alle permissies toekennen aan apps, zijn er ook gebruikers die het niet erg vinden dat derden hun adresboek-data in handen krijgt. Dit kan echter verregaande gevolgen hebben.

"Je moet je niet alleen zorgen maken over de data op je smartphone, maar ook over de beveiliging van het bedrijf die een kopie van jouw data heeft opgeslagen. Je hebt geen controle over wat er met deze data gebeurt als deze uitlekt of wordt gestolen," aldus Porter.

"Het zal niet de eerste keer zijn dat dit gebeurt. Er zijn in het verleden verschillende populaire apps onderuit gegaan en het is verschrikkelijk voor de achterliggende bedrijven, maar nog veel erger voor de consumenten wiens data dan op straat ligt."

Secret

Dit is ten dele gebeurd met een soortgelijke app, Secret, waarmee anonieme berichten naar vrienden en vrienden van vrienden konden worden gestuurd. Beveiligingsonderzoekers konden gebruikers uit de anonimiteit trekken door het contact-matching-systeem te misbruiken.

Julian laat in de onderstaande video zien hoe de app in z'n werk gaat.