info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

سرقت لیست مخاطبان توسط برنامه اندرویدی عربی صراحه

خلاصه: براساس گزارشی که توسط the Intercep منتشر شد، برنامه‌ی محبوب صراحه که بین ۱۰ تا ۵۰ میلیون بار دانلود شده، که برای ارسال پیام ناشناس طراحی شده است، به صورت مخفیانه اطلاعات مخاطبان را از تلفن همراه کاربر به سرور خود آپلود می‌کند.

برنامه‌ی صراحه  توسط یک توسعه دهنده‌ عربستانی به نام زین‌العابدین توفیق توسعه داده شده است. این برنامه که در این تابستان به یکی از محبوب‌ترین برنامه‌های android و ios تبدیل شد، یک شبکه‌ی اجتماعی است که به کاربر امکان ارسال پیام ناشناس به دیگر کاربران را می‌دهد.

صراحه در عربی به معنای "با صداقت" و "درستکار" بوده و دلیل انتخاب این نام از دید توسعه دهنده این است که مردم زمانی که پیام خود را به صورت ناشناس ارسال می‌کنند صداقت بیشتری دارند. 

امروزه این برنامه بیش از ۱۸ میلیون کاربر دارد که احتمالا این مسئله که ممکن است این نرم‌افزار کاملا محرمانه نباشد توسط آن‌ها نادیده گرفته‌ شده است.

براساس گزارش The Intercept نرم‌افزار صراحه، لیست مخاطبان تلفن همراه کاربر را به سرور کمپانی ارسال می‌کند. این کشف توسط Zachari Julian انجام شده است. این تحلیل‌گر امنیتی زمانی که نرم‌افزار را بر روی تلفن همراه اندرویدی خودش نصب کرد متوجه شد که نرم‌افزار در حال بارگذاری اطلاعات خصوصی است. تلفن همراه او مجهز به یک نرم‌افزار نظارتی به نام Burp Suit بوده که امکان دیدن داده‌های ارسال‌شده به سرور‌های راه دور را می‌دهد.

Julian همچنین اظهار داشت که این اتفاق در سیستم‌عامل IOS نیز می‌افتد و تاکید کرد که سیاست حفظ حریم خصوصی در این نرم‌افزار به ارسال داده‌ها به سرور اشاره نمی‌کند.

درحالی که درخواست دسترسی به دفترچه تلفن کاربر برای برنامه‌هایی که از این اطلاعات استفاده می‌کنند بسیار رایج است، اما درحال حاضر چنین قابلیتی در صراحه موجود نیست.

سیاست حفظ حریم خصوصی به طور خاص اعلام می‌کند که اگر قصد دارد از اطلاعات شما استفاده کند، از رضایت شما اطمینان حاصل خواهد کرد و اطلاعات ثبت‌شده در فروشگاه گوگل‌پلی نشان می‌دهد که این برنامه به مخاطبان دسترسی خواهد داشت، اما این به معنی رضایت کافی کاربر نبوده و توجیه مناسبی برای ارسال تمامی مخاطبان بدون هیچ‌ نوع اطلاع‌رسانی نیست.

صراحه ابتدا به نظرات مربوط به این موضوع پاسخ نداد، اما پس از انتشار این خبر توسط the intercept، توسعه‌دهنده‌ی این نرم‌افزار، زین‌العابدین توفیق، توییت کرد که این اطلاعات برای ویژگی " یافتن دوستان شما" که در نسخه‌های آینده منتشر می‌شود به سرور کمپانی بارگذاری می‌شوند. او همچنین به کاربران این اطمینان را داد که درخواست داده‌ها در به‌روزرسانی بعدی حذف خواهد شده و سرور صراحه در حال حاضر میزبان مخاطبان نیست.

 به هر حال از آنجایی که اندروید ۶ به کاربران این امکان را می‌دهد که مجوز دسترسی برنامه‌ها را محدود کنند، شما هنوز می‌توانید از صراحه  با محدود کردن دسترسی آن، بدون اینکه نگران بارگذاری اطلاعاتتان بر روی سرور‌هایشان باشید ، استفاده کنید. برای این‌کار به تنظیمات رفته و در قسمت App Permission، مجوزها را براساس نیاز خود تنظیم کنید.

تحت نظارت وف ایرانی