Sarahah, l’applicazione per mandarsi messaggi anonimi diventata molto popolare nelle ultime settimane, raccoglie i dati della propria rubrica telefonica e li invia ai server che la fanno funzionare, senza informarne adeguatamente gli utenti. Si stima che Sarahah abbia ormai più di 18 milioni di utilizzatori, che l’hanno scaricata sui loro iPhone e smartphone Android, e che quindi abbia potuto raccogliere centinaia di milioni di numeri di telefono e indirizzi email, nella maggior parte dei casi all’insaputa delle persone interessate. Quando viene installata, l’applicazione chiede l’autorizzazione per accedere ai contatti della propria rubrica, ma l’avviso è piuttosto generico e non è chiaro quale sia l’effettivo scopo della raccolta, cosa che pone diversi problemi dal punto di vista della tutela della privacy degli utenti.

Come spiegano su The Intercept, l’esperto di sicurezza informatica Zachary Julian è stato tra i primi ad accorgersi del trasferimento di dati verso i server di Sarahah. Julian ha installato sul suo Samsung Galaxy S5 (Android) un’applicazione che consente di monitorare le attività delle altre app, e in particolare le informazioni che queste inviano verso i server cui sono collegate. Avviando Sarahah, Julian ha notato che l’applicazione inviava diverse informazioni personali contenute nella rubrica: “Non appena fai il login, l’app trasmette tutti i tuoi contatti email e telefonici memorizzati nel tuo Android”. Su iOS, il sistema operativo degli iPhone, viene mostrato un avviso nel quale si dice che per poter funzionare Sarahah deve accedere ai propri contatti, mentre sulle versioni meno recenti di Android non compare nessuna richiesta di consenso.

Zain al-Abidin Tawfiq, l’ideatore di Sarahah, ha scritto su Twitter che la funzione per accedere ai contatti e inviarli ai server dell’app sarà disattivata in un futuro aggiornamento. Ha anche scritto che era stata inserita inizialmente con l’idea di creare una funzione del tipo “Trova i tuoi amici”, presente in molte altre app, per rendere più rapida l’identificazione dei contatti che già utilizzano Sarahah.

Sarahah App asked for contacts for a planned "find your friends" feature — ZainAlabdin Tawfiq (@ZainAlabdin878) August 27, 2017

Lo sviluppo della funzionalità aveva però portato a qualche intoppo ed era quindi già in programma una sua rimozione, che però non è ancora avvenuta. Tawfiq ha spiegato a The Intercept che i server di Sarahah non mantengono più le informazioni sui numeri di telefono e le email, anche se questi sono lo stesso inviati dall’applicazione. Questa circostanza è però impossibile da verificare, perché sarebbe necessario un accesso ai server per controllare le attività che vengono svolte dall’applicazione.

La raccolta di informazioni sulla propria rubrica telefonica è piuttosto comune, soprattutto tra le applicazioni gratuite, ma di solito sono fornite maggiori informazioni sullo scopo dell’opzione e sui suoi effetti sull’app che si sta utilizzando. Instagram, Snapchat, Facebook e altre app propongono spesso di accedere a quei dati per creare elenchi dei propri contatti che stanno già utilizzando le loro applicazioni, in modo da aggiungerli più facilmente alla lista delle persone che si seguono. Le informazioni sulla privacy – i lunghi e complicati documenti che non legge quasi mai nessuno – spiegano lo scopo della raccolta dei dati e i sistemi per tutelare la privacy di chi decide di condividerli.

Gli esperti di sicurezza informatica invitano in generale a non concedere l’accesso alla propria rubrica, soprattutto se a chiederlo sono applicazioni che non hanno dietro grandi organizzazioni e che potrebbero quindi avere preso meno precauzioni per tutelare il trasferimenti dei dati. È già successo in passato che grandi database, contenenti milioni di numeri di telefono ed email, siano stati resi pubblici o messi in vendita su forum di hacker e di altri utenti poco raccomandabili. Nel caso di Sarahah, per esempio, non ci sono informazioni chiare né sulle modalità di trasferimento dei dati né sui livelli di sicurezza dei server che gestiscono le informazioni.

Consapevoli dei rischi e in seguito alle analisi di esperti e organizzazioni per la tutela della privacy, negli ultimi anni i principali produttori di sistemi operativi per smartphone hanno reso più severe le regole di accesso alle informazioni contenute nella rubrica. Su iOS da tempo viene mostrato un avviso che chiede l’esplicito consenso da parte dell’utente per accedere ai dati, ma in alcuni casi non c’è alternativa a dare il proprio “OK”, perché altrimenti non si possono utilizzare le funzionalità dell’applicazione appena installata. Su Android le cose sono un po’ più complicate perché solo le versioni più recenti hanno sistemi più articolati per dare il proprio consenso, ma ci sono centinaia di milioni di smartphone che usano le vecchie versioni di Android con meno controlli.

Nei prossimi aggiornamenti quelli di Sarahah dovrebbero risolvere il problema, nel frattempo chi avesse installato l’applicazione può revocare i permessi per l’accesso alla rubrica dalle impostazioni per la privacy del proprio smartphone. In questo modo si eviterà che l’app continui a inviare periodicamente la propria rubrica ai server, anche se questo non eliminerà i precedenti invii di dati avvenuti dopo l’installazione. Per chi non volesse rinunciare a Sarahah, il consiglio è utilizzare temporaneamente il sistema da web, dove ci si può iscrivere senza dover condividere i propri contatti.