Noch ein kleiner Sicherheitssplitter zum Feierabend. Die anonyme Feedback-App Sarahah für Android und iOS lädt heimlich die kompletten Daten aller Kontakte und E-Mail-Adressen im Hintergrund zum Server des Betreibers hoch.
Anzeige
Was ist Sarahah?
Der Name Sarahah stammt aus dem Arabischen und steht für ehrlich. Der arabische Entwickler Zain al-Abidin Tawfiq hatte die App herausgebracht, um ein anonymes Feedback von Mitarbeitern über Firmen gegenüber anderen Sarahah-Nutzern zu ermöglichen. Die App wurde erst im Juni 2017 für Android und iOS vorgestellt und war vor allem in den arabischsprachigen Ländern recht populär.
Jetzt schwappt die wohl aber wohl nach Europa und in die USA (siehe diesen englischsprachigen Artikel und hier). Scheinbar wurde die App Millionen Mal (ich habe 18 Millionen gelesen) heruntergeladen.
Die App lädt das Adressbuch heimlich auf Server
Die Site The Intercept berichtet nun hier, dass Nutzer, die die App installiert haben, nicht mitbekommen, wie diese App heimlich das komplette Adressbuch des Geräts ausliest und auf einen Server hoch lädt. Aufgefallen ist die Zachary Julian, einem Sicherheitsanalysten von Bishop Fox. Der entdeckte, dass die App Sarahah seine Adressdaten kopieren wollte. Er schreibt: Sobald sich jemand mit der App am Sarahah-Konto anmeldet, lädt diese die Kontakte und E-Mail-Adressen hoch. Das gilt sowohl für Android als für iOS.
Sarahah App asked for contacts for a planned "find your friends" feature
— ZainAlabdin Tawfiq (@ZainAlabdin878) 27. August 2017
Anzeige
Nachdem dieses Feature bekannt wurde, hat sich der Entwickler per Tweet gemeldet. Der Upload war für eine geplante Funktion 'Finde deine Freunde' geplant, soll nun aber entfernt werden. Als Admin im Firmenumfeld, der Mobilgeräte verwaltet, sollte man daher ein Auge auf das Thema haben. (via)
Anzeige
