Sarahah, o novo aplicativo para receber críticas sinceras de forma anônima, vem crescendo em popularidade: estima-se que em torno de 18 milhões de pessoas já tenham baixado o app nas lojas online da Apple e do Google, tornando-o assim o terceiro programa gratuito mais baixado em iPhones e iPads.

O Sarahah se define como um instrumento para “receber feedback honesto” de amigos e empregados, mas o aplicativo está coletando mais do que apenas mensagens. Quando inicializado pela primeira vez, ele imediatamente captura e envia para o servidor todos os números de telefone e endereços de e-mail da sua lista de contatos. Em alguns casos, o Sarahah até pede permissão, mas não revela que transmite esses dados, nem parece fazer qualquer uso funcional da informação.

Zachary Julian, analista de segurança sênior da consultoria de segurança da informação Bishop Fox, descobriu que o Sarahah fazia upload de informações privadas quando instalou o aplicativo em seu telefone Android, um Galaxy S5 que rodava a versão 5.1.1 do sistema operacional móvel. O telefone estava equipado com o programa de monitoramento Burp Suite, que intercepta o tráfego de dados do aparelho, permitindo ao dono visualizar quais dados estão sendo enviados para servidores remotos. Quando Julian ligou o Sarahah pela primeira vez, o Burp Suite pegou o aplicativo no flagra, fazendo upload de dados pessoais.

“Assim que você se conecta ao aplicativo, ele transmite todos os seus contatos de e-mail e telefone armazenados no sistema operacional Android”, explica Julian. O analista de segurança verificou posteriormente que o mesmo processo ocorre no iOS da Apple, embora precedido de um pedido de permissão para “acessar contatos”, que também aparece nas versões mais recentes do sistema Android. Percebeu ainda que, se você fica um tempo sem usar o aplicativo, ele compartilha novamente todos os contatos quando volta a ser acessado. Julian realizou alguns testes no aplicativo numa sexta à noite. Quando voltou a usá-lo na manhã de domingo, seus contatos foram enviados novamente. (Você pode ver alguns desses testes neste vídeo.)

Num primeiro momento, o Sarahah não atendeu aos nossos pedidos de resposta. Depois da publicação desse texto, o criador do aplicativo, Zain al-Abidin Tawfiq, divulgou em seu perfil no Twitter que a funcionalidade de upload dos contatos seria removida numa atualização futura. Disse que a intenção era utilizá-la como uma ferramenta para localizar amigos. Ele informou depois a The Intercept que o recurso havia sido deixado de lado por “razões técnicas” e que um parceiro, com quem ele deixou de trabalhar desde então, deveria tê-lo removido do aplicativo, mas “se esqueceu”. Ele alega, porém, que a funcionalidade foi removida do servidor e que o Sarahah não armazena contatos em seus bancos de dados. É impossível verificar essa afirmação.

Drew Porter, fundador da empresa de segurança Red Mesa, diz que esse tipo de comportamento é mais comum do que se imagina, especialmente em aplicativos gratuitos como o Sarahah. Ele explica ainda que, mesmo que o usuários estejam dispostos a confiar no programa e ceder dados de sua lista de contatos, há bons motivos para  desconfiar dos servidores de internet associados ao aplicativo. “Não é mais só uma questão de se preocupar com os dados do seu telefone, mas sim com o fato de eles estarem em algum outro lugar e você não ter nenhum controle sobre a integridade desses dados”, alerta ele. “Não é simplesmente ‘ah, esta empresa pode ver minhas informações e estou de acordo com isso’. Você agora precisa pensar sobre a segurança da informação dessa empresa.”

Questionado sobre o Sarahah, Porter acrescentou: “Acho preocupante, principalmente porque as informações às quais a empresa pode ter acesso podem ser consideradas muito íntimas por outras pessoas, e não se sabe nada sobre a segurança da empresa que as obteve. Já vimos isso antes com aplicativos muito populares, vazamentos de informação acontecem e são devastadores para essas empresas. Penso, porém, que são ainda mais devastadores para os usuários cujos dados foram violados.”

Will Strafach, presidente da empresa Sudo Security Group Inc., destaca que pesquisadores de segurança da informação e revisores de aplicativos só conseguem ver o que acontece no dispositivo, não no servidor, o que torna impossível para qualquer pessoa que não seja o próprio desenvolvedor saber se os dados estão sendo armazenados ou apenas acessados – e, se armazenados, o quanto estão protegidos. “Mesmo num caso de uso inocente, sem armazenamento, se os dados não estiverem sendo tratados de maneira segura, uma falha no servidor pode permitir que agentes maliciosos acessem as informações de contato”, explica ele. “Além disso, não há solução milagrosa para o problema. Minha equipe criou um programa para detectar automaticamente esse tipo de comportamento em aplicativos de iOS e identificar anomalias, mas descobrimos que essa informação não era tão útil quanto se imaginava, porque muitos aplicativos já estão fazendo isso e não há meio confiável de determinar se os dados estão sendo tratados de forma segura pelo servidor, que é a parte mais importante.”

Julian, porém, considera que o envio de dados pelo Sarahah é perturbador, em especial diante da popularidade do aplicativo e do fato de que a maior parte dos usuários não está esperando por isso. No iOS, a mensagem informa que “o aplicativo precisa acessar seus contatos para mostrar quem possui uma conta no Sarahah”, e permite ao usuário escolher entre “De acordo” e “Não permitir”. No Android, em alguns casos, o aplicativo solicita acesso aos contatos sem dizer o motivo. Em outros casos, nem sequer pede permissão. Em nenhum dos sistemas operacionais é dito que os dados serão transmitidos para um servidor. “A política de privacidade afirma expressamente que, se houver intenção de utilizar seus dados, o aplicativo irá solicitar seu consentimento”, aponta Julian. A página do aplicativo na Google Play Store informa que os contatos serão acessados, porém isso não caracteriza “consentimento suficiente” para justificar “que se transmitam todos esses contatos sem nenhuma notificação específica”, acrescenta.

Apesar de declarar, no iOS, que utiliza as informações para mostrar ao usuário quem mais está no Sarahah, na verdade o aplicativo não faz isso, a julgar pelos testes que Julian realizou. Se o Sarahah começasse a mostrar quais dos contatos estão na rede, isso levaria a um novo problema: tornaria mais fácil deduzir os autores das mensagens. Por ora, não está claro como esses dados estão sendo usados.

“Levando em conta apenas a Play Store para Android, o Sarahah tem entre 10 e 50 milhões de instalações registradas. Extrapolando, o aplicativo pode ter facilmente chegado a coletar centenas de milhões de números de telefone e endereços de e-mail”, complementa Julian. O Sarahah está entre os cinco aplicativos mais baixados da Google Play Store para Android, de acordo com a empresa de análise de dados de aplicativos App Annie.

Ainda não é possível saber com clareza que uso o Sarahah faz das listas de contatos coletadas, embora a política de privacidade do aplicativo afirme que não venderá as informações para terceiros sem consentimento prévio e por escrito, exceto no contexto de envio de dados em massa para propósitos estatísticos ou de pesquisa.

Versões mais recentes dos sistemas operacionais Android, como o Android 6.0 (“Marshmallow”), permitem um ajuste mais fino das permissões de aplicativos. Os usuários podem, por exemplo, fazer alterações para que os programas não tenham acesso a seus contatos e outras informações. O envio de atualizações para os telefones Android, no entanto, é notoriamente lento, salvo nos modelos mais caros: cerca de 54% dos usuários de Android ainda utilizam versões antigas que não possuem esses controles, e os usuários precisam ser experientes o suficiente para conseguir localizar as permissões de aplicativos (Configurações > Aplicativos > Botão de engrenagem > Permissões do aplicativo).

Outros aplicativos que enviam os contatos do usuário para servidores externos são mais diretos em suas políticas de privacidade. Um exemplo é o Snapchat. Em 2014, o aplicativo, supostamente destinado à troca de mensagens efêmeras, fechou um acordo com a FTC, a Comissão Federal de Comércio dos EUA, reconhecendo que  o desaparecimento das mensagens era uma promessa falsa. Além disso, o aplicativo também transmitia a localização dos usuários e coletava suas listas de contato sem aviso prévio ou consentimento. Hoje o Snapchat possui uma robusta política de privacidade, segundo a qual o aplicativo “poderá – com o seu consentimento – coletar informações da lista de contatos do seu telefone”. Se você der essa permissão e se você estiver na lista de contatos de outro usuário, o aplicativo poderá somar informações da lista dessa pessoa ao que já tiver sido coletado a seu respeito. A mensagem convidando a adicionar contatos diz: “Encontre seus amigos. Veja quais dos seus contatos estão no Snapchat!” No iOS, a janela pop-up informa claramente que os contatos serão enviados para os servidores do Snapchat “para que você e outros possam encontrar amigos e aprimorar sua experiência.”

O Sarahah parece ser uma operação muito menos complexa do que o Snapchat. O aplicativo foi criado na Arábia Saudita por Tawfiq, conforme relatos em veículos de comunicação. É apenas o mais recente de uma lista de aplicativos que combinam promessas de anonimato com práticas alarmantes de privacidade. Outro exemplo é o já extinto Secret, que permitia compatilhar segredos de maneira anônima com amigos e amigos de amigos. Em 2014, pesquisadores de segurança conseguiram descobrir os autores das mensagens, enganando o sistema de correspondência de contatos do aplicativo.

Uma boa notícia para os usuários do Sarahah preocupados com sua privacidade é que não é necessário baixar o aplicativo. É possível enviar mensagens e se cadastrar para recebê-las por meio do site do Sarahah, que não pede permissões nem acessa contatos de nenhuma das listas do usuário.

Ainda assim, se o Sarahah pretende continuar coletando dados por meio de aplicativos móveis, Julian entende que uma forma mais responsável de fazê-lo seria informar expressamente aos usuários quais dados estariam cedendo e para onde seriam encaminhados, além de fornecer um motivo legítimo para o armazenamento dessas informações.

Foto em destaque: Sarahah, o novo aplicativo que permite que pessoas mandem críticas anônimas umas às  outras.

Tradução: Deborah Leão