Приложение Sarahah, завоевавшее популярность у пользователей мобильных устройств, скрытно передавало контактные данные с телефонов на серверы, принадлежащие фирме-разработчику.
Этот функционал был найден ИБ-экспертом Закари Джулианом. После предоставления пользователем доступа к списку контактов Sarahah ведет себя одинаковым образом и на Android, и на iOS.
В настоящий момент в приложении отсутствует функционал, требующий доступа к контактным данным, но, как утверждают разработчики, он будет внедрен в будущем, и именно поэтому осуществляется загрузка телефонных контактов на серверы компании.
Основатель Sarahah Заин аль-Абидин Тауфик заявил, что приложение осуществляет сбор контактов для функционала, который будет внедрен позднее. Вероятнее всего, это будет список людей, позволяющий искать их по телефонному номеру.
Sarahah дает пользователям возможность отправлять анонимные отзывы о других пользователях. В приложении есть функционал поиска, однако отсутствует интеграция с социальными сетями и перечнем контактов.
Функционал для сбора контактных данных обещают удалить уже в следующем патче Sarahah, как и информацию, что была загружена на серверы.
