Sarahah là một ứng dụng chat ẩn danh mới ra mắt đã trở thành một trong những phần mềm hot nhất trên iPhone và Android trong vài tuần qua, cho phép người dùng đăng ký nhận những tin nhắn ẩn danh, thẳng thắn từ những người dùng Sarahah khác.

Tuy nhiên, hóa ra ứng dụng này đã bí mật tải danh bạ điện thoại của khách hàng lên máy chủ công ty mà không có lý do chính đáng, và bị phát hiện bởi nhà phân tích an ninh Zachary Julian.

Khi một người sử dụng Android hay iOS tải và cài đặt Sarahah lần đầu tiên, ứng dụng lập tức sao chép và tải lên tất cả số điện thoại và địa chỉ email từ danh bạ trong thiết bị.

Tuy rằng việc này khá phổ biến đối với các ứng dụng có cung cấp tính năng liên hệ với người khác trong danh bạ, Sarahah lại không có tính năng nào tương tự, vì vậy hành vi của nó rất đáng ngờ.

“Chính sách riêng tư ghi rõ rằng nếu họ định sử dụng dữ liệu của bạn, họ phải được bạn đồng ý. Trong khi đó, phần entry của ứng dụng trên Play Store của Google chỉ cho thấy ứng dụng được phép truy cập vào liên hệ, chưa đủ để biện minh cho việc gửi các liên hệ này đi mà không có thông báo”, theo tờ The Intercept.

Phản ứng trước điều này, nhà lập trình Sarahah, Zain al-Abidin Tawfiq, đã nói rằng ứng dụng của ông thực chất thu thập và tải các liên hệ của người dùng lên máy chủ công ty cho một tính năng sẽ được bổ sung sau này.

Đó là một tính năng “tìm bạn của bạn” vốn nằm trong kế hoạch phát triển”, nhưng đã bị “hoãn lại do lỗi kỹ thuật” và chưa bị gỡ bỏ khỏi phiên bản hiện nay của Sarahah vì… quên.

Tawfiq đã đảm bảo với người dùng rằng Sarahah “sẽ gỡ bỏ yêu cầu trên trong bản cập nhật tiếp theo” và máy chủ không “lưu danh bạ nào vào thời điểm hiện tại”. Dĩ nhiên đây mới là lời tuyên bố một phía và chưa thể kiểm chứng được.

Sarahah đã gây bão cộng đồng mạng chỉ trong vài tuần, biến nó trở thành phần mềm miễn phí dành cho iPhone và iPad được tải về nhiều thứ 3 trên Store. Ứớc tính khoảng 18 triệu người đã tải về từ internet.

Tuy nhiên, khách hàng vẫn có thể sử dụng Sarahah một cách an toàn, chỉ cần chặn quyền truy cập của ứng dụng vào danh bạ cá nhân trong máy để tránh rò rỉ thông tin.

Theo: The Hacker News

BÌNH LUẬN

Please enter your comment!
Please enter your name here