在过去的几周里,沙特匿名社交APP“Sarahah”在网上疯传,不过实际上,可能并不像它听起来那么私密:结果显示,这个应用程序只是将用户的电话关联到公司的服务器上,而且似乎不是出于什么好的企图。该行为被安全分析师Zachary Julian发现,并首次由The Intercept报道。
该软件的创始人Zain al-Abidin Tawfiq说,因为一个技术问题造成的延迟,为了“一个‘找到你的朋友’的计划功能”,你的手机“联系人名单”正在被上传。就在新闻稿指出了该公司的行为后,他又发推特说“下一次更新时数据请求将被删除”,并且Sarahah的服务器并不会保留“当前机主的联系人信息”。
这个应用程序并没有完全隐藏它对你手机联系人的兴趣。在iOS和Android上,Sarahah会要求允许访问每个用户的电话联系人——即使你说不,你也可以继续使用这个应用程序。但是,允许访问他们的联系人列表的用户可能期望该软件能向电话联系人列表程序添加一些功能。但是到现在为止,它并没有。软件里面没有联系人列表。虽然有搜索功能,但你不能用电话号码来找人。也没有像Instagram那样,向你显示自己的哪些联系人已在使用该软件的功能。
Julian通过使用监控软件发现了从他的Android手机发送和接收的数据,并发现了该软件公司的行为。其中含有你“所有的电子邮件和电话联系人;”他后来对此进行了确认,这个现象在iOS上也出现了。
上传联系人列表并不是一个不常见的行为,并且经常被合法地使用。但是,除非用户从中可以获得益处,否则应用程序真的不应该这样做。无论哪种方式,当人们的个人资料被用在他们不知道的地方时,人们往往会非常不开心。
今年早些时候,Unroll服务的用户就是如此。当报告说公司将数据卖给Uber时,人们会感到不安。虽然这种活动经常被应用程序的服务条款所覆盖,但这并不意味着大多数用户都会意识到它。
Sarahah的创始人让这听起来像公司没有对收集的数据做任何事情。但无论哪种方式,这些信息似乎是不必要被发送到一个公司的服务器的。8月27日下午6时47分,Sarahah发布消息说,目前,已经上传了一个未发布的功能,并将在下次更新中停止该行为。