WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Ứng dụng gửi tin nặc danh Sarahah thu thập dữ liệu bất thường
Phần mềm gây sốt với hơn 300 triệu lượt tải trong một tuần lấy dữ liệu danh bạ nhưng không dùng cho tính năng tương tác nào.
Theo The Intercept, ứng dụng gửi tin nặc danh Sarahah không thực sự an toàn như mọi người vẫn nghĩ. Nhà phân tích an ninh Zachary Julian đã phát hiện phần mềm tải lên dữ liệu về danh bạ trong máy điện thoại của người dùng mà không có lý do chính đáng.
Sarahah không che giấu việc quan tâm đến luồng dữ liệu này của người dùng. Khi bắt đầu cài đặt trên cả iOS lẫn Android, phần mềm đều hỏi quyền truy cập vào danh bạ điện thoại. Ngay cả khi người dùng từ chối, họ vẫn có thể tiếp tục dùng ứng dụng.
Tuy nhiên, điểm lạ là máy không sử dụng danh bạ cho mục đích nào. Không có danh sách bạn bè trong ứng dụng và thử nhập vào ô tìm kiếm một tên có trong danh bạ, Sarahah cũng không hiển thị được kết quả. Chuyên gia Julian đã khám phá ra điều này bằng cách sử dụng phần mềm giám sát để xem dữ liệu Sarahah đang gửi và nhận từ điện thoại Android của mình. Trong số đó là "tất cả các địa chỉ liên hệ qua email và danh bạ điện thoại của bạn", ông nói và cho biết điều tương tự cũng xảy ra trên iOS.
Sarahah thu thập dữ liệu danh bạ người dùng.Cấp quyền cho ứng dụng đọc danh bạ máy không phải là mới và nhiều ứng dụng cũng làm điều này. Nhưng theo The Verge, việc lấy dữ liệu đó nhưng không cung cấp lại các tính năng tương tự cho người dùng là hành động bất thường. "Tất cả mọi người sẽ có xu hướng không hài lòng về việc dữ liệu cá nhân của họ được xử lý như vậy", trang này nhận định.
Ít giờ sau khi báo chí lên tiếng. Zain al-Abidin Tawfiq, người sáng lập của ứng dụng cho biết danh bạ được tải lên "cho kế hoạch xây dựng tính năng tìm kiếm bạn bè nhưng bị trì hoãn do vấn đề kỹ thuật". Chủ nhân của Sarahah sau đó hứa sẽ loại bỏ việc yêu cầu dữ liệu danh bạ trong lần cập nhật kế tiếp và khẳng định máy chủ của phần mềm hiện không lưu trữ dữ liệu về số liên lạc.
Đầu năm nay, người dùng dịch vụ Unroll.me đã tố cáo công ty bán dữ liệu của họ cho Uber. Việc thu thập dữ liệu được đề cập đến trong điều khoản hoạt động của ứng dụng nhưng hầu hết người dùng đều không nhận thức được việc này.
Theo The Intercept, ứng dụng gửi tin nặc danh Sarahah không thực sự an toàn như mọi người vẫn nghĩ. Nhà phân tích an ninh Zachary Julian đã phát hiện phần mềm tải lên dữ liệu về danh bạ trong máy điện thoại của người dùng mà không có lý do chính đáng.
Sarahah không che giấu việc quan tâm đến luồng dữ liệu này của người dùng. Khi bắt đầu cài đặt trên cả iOS lẫn Android, phần mềm đều hỏi quyền truy cập vào danh bạ điện thoại. Ngay cả khi người dùng từ chối, họ vẫn có thể tiếp tục dùng ứng dụng.
Tuy nhiên, điểm lạ là máy không sử dụng danh bạ cho mục đích nào. Không có danh sách bạn bè trong ứng dụng và thử nhập vào ô tìm kiếm một tên có trong danh bạ, Sarahah cũng không hiển thị được kết quả. Chuyên gia Julian đã khám phá ra điều này bằng cách sử dụng phần mềm giám sát để xem dữ liệu Sarahah đang gửi và nhận từ điện thoại Android của mình. Trong số đó là "tất cả các địa chỉ liên hệ qua email và danh bạ điện thoại của bạn", ông nói và cho biết điều tương tự cũng xảy ra trên iOS.
Sarahah thu thập dữ liệu danh bạ người dùng.
Ít giờ sau khi báo chí lên tiếng. Zain al-Abidin Tawfiq, người sáng lập của ứng dụng cho biết danh bạ được tải lên "cho kế hoạch xây dựng tính năng tìm kiếm bạn bè nhưng bị trì hoãn do vấn đề kỹ thuật". Chủ nhân của Sarahah sau đó hứa sẽ loại bỏ việc yêu cầu dữ liệu danh bạ trong lần cập nhật kế tiếp và khẳng định máy chủ của phần mềm hiện không lưu trữ dữ liệu về số liên lạc.
Đầu năm nay, người dùng dịch vụ Unroll.me đã tố cáo công ty bán dữ liệu của họ cho Uber. Việc thu thập dữ liệu được đề cập đến trong điều khoản hoạt động của ứng dụng nhưng hầu hết người dùng đều không nhận thức được việc này.
Theo VnExpress