L'applicazione che permette di mandare e ricevere commenti anonimi è accusata di non rispettare la privacy di chi la utilizza, carpendo senza avvisare e senza motivo la rubrica degli indirizzi. Lo sviluppatore si difende e promette di rimuovere la funzione
Sarahah è stata l'app più scaricata dell'estate, prima nelle classifiche dei download in 25 Paesi sia per gli smartphone Android che per quelli con sistema operativo Apple. Insomma, un successo basato sulla voglia di anonimato di chi l'ha scaricata, perché quel che fa Sarahah (che in arabo significa 'onestà') è proprio consentire l'invio e la ricezione di messaggi senza identificare l’autore. Un esperto di sicurezza informatica ha però lanciato l'allarme sulla privacy del servizio, accusato di esportare i contatti nella rubrica, sia telefonica sia di posta elettronica, degli iscritti. Ma è veramente così?
Le accuse
Ad accusare Sarahah di furto dei contatti degli utenti è stato Zachary Julian, decano della sicurezza presso l'azienda Bishop Fox, che in un video ha mostrato il traffico dati conseguente all'installazione di Sarahah sul proprio smartphone Android: i contatti vengono esportati su un server esterno senza che Julian ne fosse consapevole. Inoltre Julian denuncia la mancanza di uno scopo dichiarato per tale sottrazione di dati personali (altrui tra l'altro). Le accuse sono state riprese dalla testata The Intercept, disseminando preoccupazione tra gli utenti.
Le spiegazioni e le promesse
Lo sviluppatore di Sarahah, il saudita Zain Alabdin Tawfiq, ha prontamente replicato all'articolo di The Intercept e in un tweet ha spiegato che l'utente viene informato quando avviene l'accesso ai propri contatti. Questo però non accade con le versioni più datate di Android, come quella usata da Julian, di qui l’equivoco. Inoltre il programmatore ha spiegato che la funzione era stata inclusa nell'app in un momento in cui si pensava di sviluppare anche la possibilità di trovare su Sarahah i propri amici e conoscenti, feature che poi non è stata completata ed è rimasta fuori dalla prima release del software. Tawfiq ha anche annunciato che l'esproprio dei contatti sarà eliminato dalle prossime versioni della app.
Chiarimenti e rischi
La querelle regge nonostante le apparenti contraddizioni, dato che in effetti Zachary Julian ha utilizzato una versione di Android non proprio aggiornata (la 5.1, oggi siamo alla 8.0). Sui sistemi operativi più recenti sia di Android che di iOs, Sarahah richiede l'autorizzazione ad accedere ai contatti degli utenti mentre viene installata sul dispositivo, e funziona anche in assenza di tale autorizzazione. In questo si comporta come altre app che domandano di accedere alla rubrica; solo che a differenza delle altre, poi di questi dati non se ne fa nulla, almeno apparentemente e almeno al momento. Le policy dell'app indicano che tutti i dati raccolti non verranno ceduti a terzi, ma il fatto che risiedano su server della cui sicurezza non si hanno garanzie non tranquillizza più di tanto. Il consiglio è di non concedere il consenso all'accesso ai contatti quando si installa, chi l'ha già installato puٍ andare a modificare le impostazioni, negandolo.
Zona grigia
Anche questa vicenda, che seppur non sembra avere risvolti illegali si muove in una zona grigia, ci ricorda quanto siano vulnerabili le nostre identità digitali e quanto spesso le gestiamo in modo superficiale, senza preoccuparci delle possibili conseguenze. Non si sa quali siano le reali intenzioni di Tawfiq, a sua parziale discolpa c'è il fatto che l'app gli è letteralmente esplosa tra le mani, conoscendo in pochissimi mesi un successo non preventivato. Era nata infatti come strumento per migliorare la comunicazione in azienda e nessuno si aspettava l'enorme numero di download (stando alle ultime dichiarazioni rilasciate a CNN l'app è stata scaricata 62 milioni di volte), causato anche dall'accordo con Snapchat che ha dato ai propri utenti la possibilità di far commentare anonimamente le proprie foto proprio con Sarahah. Non è da escludere quindi che il comportamento insolito dell'app sia dovuto ad approssimazione dello sviluppatore, e che non ci siano secondi fini. La prossima release di Sarahah sgombrerà il campo dai dubbi residui. Nel frattempo meglio non fidarsi nemmeno di chi si chiama 'onesto'.