Sarahah真有安全漏洞?听听安全分析员怎么说 – 明日頭條

Sarahah真有安全漏洞?听听安全分析员怎么说

想让你知道:
如果你觉得道听途说,Sarahah会截取个人资料而选择漠视的话?你可能需要仔细阅读安全分析人员的话了。

就在桌游《狼人杀》火红不及两周后,这个来自沙地阿拉伯,被称为“诚实app”的《Sarahah》突然在社交媒体红了起来,用户只需要注册账户,然后将链接分享到个人社交网站,等待留言即可。于是也开始出现洗版——刷起手机,尽是一片白底绿框的画面。

很快地,反对和抨击的声音冒起,说这App实际上存在安全隐忧,而且会散播霸凌文化,但目前仍有人继续玩的不亦乐乎。

本站先带你看安全隐忧问题,最近《截击》(The Intercept)报道,Sarahah的确存有私隐问题。

报道引述资讯安全分析员 Zachary Julian 的谈话,指自己在在手机上安装 Sarahah 时发现,该软件会上载他的个人资料。他说他在Galaxy S5 安装了监控软件 Burp Suite,以查看数据有否传到其他地方,结果在开启Sarahah,就显示出这个软件正上载其数据。

Julian说,在登入Sarahah时,它会把储存在Android的电邮及电话联络资料外传,也确认这类情况也会在苹果的iOS上发生。他也发现,假如没有使用Sarahah一天左右,它会再次分享你所有通讯录。

Julian认为,Sarahah上载通讯录的举动令人不安,大部份用户都没想到自己的私隐外洩。

在iOS上,软件会做出提醒表示需要存取通讯录来显示谁有帐户,容许用户选择“OK”或“不容许”;可是在Android上,却会发生不作出提醒地悄悄上载资料。

Julian说,其实早在用户下载Sarahah后,“私隐政策”已经提醒,征求同意上选用户的数据,但个人认为这不等于可以上传通讯录。“单单在Google Play Store上,Sarahah已有1000至5000万次安装,凭此推算,它很容易取得数以亿计的电话号码和电邮地址。”

不过,报道出街后,Sarahah的设计者 Zain al-Abidin Tawfiq 在推特上回应,认为“要求通讯录”是为了计划中的“找朋友”功能。

他解释,因为技术问题,这项功能未包含在现时版本的软件内,而Sarahah的数据库没有保留通讯资料,但实际上他没有办法确认,同时也承诺下次更新软件,会删除上传数据的部份。

至于从霸凌角度出发,匿名留言总是极端言论滋长的空间。

过去被关闭的匿名社交媒体“Yik Yak”也是类似问题。它容许用户发起及阅读讨论,但范围只限5里之内,学生用来在校园内匿名讨论。但在美国不少学校,均引起网络欺凌、滋扰和仇恨言论等问题。