匿名“诚实APP” Sarahah 最近风靡全球,这款火速爆红的 APP 标榜着“发送匿名信息说真话”的应用以阿拉伯语命名,Sarahah 直译的意思是“诚实”,估计全球有1800万人下载了 Sarahah 应用程序。用户只要在应用上注册账号,并将链接分享到其他社交平台,其他人都能给你发送匿名信息。不过,你却只能读取,不能回复对方的信息,所以很多人就借由面子书等社交平台回复匿名者的信息。
Sarahah 以“收集同事与朋友对你的诚实回馈”为开发目的,不过看来这款应用收集的不仅仅是匿名信息,还包括用户手机里的其他资料。根据海外媒体 TheIntercept 报道,当用户首次登录并开启这款应用时,它会随即将用户通讯录中的所有电话号码与邮址上传到公司的伺服器上。虽然在某些情况下,Sarahah 会征求用户的同意以便进接通讯录,不过即使用户说不,也能继续使用这款应用。然而,这款应用里并没有通讯列表,但不能以电话号码来找人,也不像其他应用那样,主动显示通讯里的哪些人已在使用这款应用,为此 Sarahah 进接手机通讯录的做法确实说不过去。 安全顾问公司 Bishop Fox一名高级分析师 Zachary Julian 发现,当他在安卓手机(三星 Galaxy S5)下载 Sarahah 应用后,这款应用迅速收集并上载他的个人信息。Zachary Julian 安装了一款名为 BURP Suite 的监控软件,可以拦截进入和输出电子设备的互联网流量信息,从而允许手机用户查看发送到远程服务器的数据。当他在手机开启 Sarahah 应用时,BURP Suite 发现,这款应用悄悄上载了他手机里的通讯资料与电子邮件地址。后来,他再确认一次,发现苹果 iOS 也出现同样的现象。数据分析师这就进行了一项测试,以视频力证这款 APP 默默盗用手机上的个人信息! Sarahah 应用创始人 Zain al-Abidin Tawfiq 透过推特回应说,上载手机里的通讯录是为了“Find your friend” 功能,但基于技术问题,加上负责删除这项功能的伙伴已经停止合作,但上载通讯录的功能还未被删除,不过他强调,下次更新应用时,这项功能将被撤出,而服务器上也不会保留任何通讯录信息。但这款应用什么时候更新?更新后是否“诚实一点”?而公司服务器里是否不再保留任何截取的信息?目前没有人说得准。
|
Jason929 发表于 29-8-2017 08:17 AM
還好我不跟風
可惜依然被豬隊友出賣了
有玩這個app的豬隊友只要有我的電話號碼 我就被連累了
aquamax 发表于 29-8-2017 07:47 PM
我还想写个SCRIPT用SARAHAH DDOS FB
Jason929 发表于 29-8-2017 08:50 PM
ddos佳礼就好了
aquamax 发表于 30-8-2017 10:18 AM
CARI酱穷。。。给不起RANSOM。。。
ADVERTISEMENT