匿名メッセージアプリ「Sarahah」があなたの連絡先を危険にさらす可能性
お使いのブラウザは古いバージョンです。より快適にご利用いただくために、ブラウザをアップグレードしてください。
この匿名メッセージアプリはあなたの連絡先へのアクセスを要求し、あなたのアドレス帳をサーバーにアップロードします
デジタルコミュニケーター
2017年8月28日
アプリが連絡先へのアクセスを求めてきた時、そのアプリが連絡先をどう利用しているのか考えたことがありますか?匿名メッセージアプリSarahahは、ユーザーがそうしないことを前提にしているようです。そして、そのデータを使って、少し怪しいことをしているようです。The Interceptの最近の報道によると、Sarahahは連絡先、特にそこに登録されている全員の匿名性を侵害する可能性があるとのことです。
そもそもサラハとは何ですか?
そもそもサラハとは何ですか?
これはかつて、iPhoneとiPad向けの無料アプリの中で3番目に多くダウンロードされたアプリでした。Sarahahの説明によると、「従業員や友人からプライベートな方法で率直なフィードバックを受け取ることで、自分の強みと改善点を発見するのに役立ちます。」
Sarahahに登録すると、他のユーザーから匿名のメッセージを受け取ることができます。これらのメッセージは、励ましの言葉、役立つ批判、あるいはあなたが特にうまくやっていることに対する褒め言葉などかもしれません。このアプリはモバイル経済においてはまだ新しいものですが、飛躍的に成長しています。これは、誰かについて自分の考えを伝える際に完全な匿名性を維持できる機能によるものだと言われています。
実のところ、Sarahahはフィードバックメッセージ以上のものも収集しているようです。Bishop Foxのシニアセキュリティアナリスト、Zachary Julian氏によると、Sarahahは連絡先に保存されているすべての情報を即座に収集し、アップロードします。これは、連絡先や知り合い全員の匿名性を侵害する可能性のある、そしておそらく実際に侵害する可能性のあるアプリの明確な例です。
Sarahah とあなたの連絡先に何が起こっているのですか?
Sarahah とあなたの連絡先に何が起こっているのですか?
Sarahahを初めて起動すると、連絡先へのアクセス許可を求められます。Sarahahにアカウントを持っている人を表示するために、その情報が必要だと表示されます。おそらく、これは友達を見つけてフィードバックを送り始めるのに役立つはずですが、Julianによると、実際にはそうではないそうです。
ジュリアンは、Android 5.1.1搭載のSamsung Galaxy S5でアプリの動作を追跡した結果、アプリが即座に彼の連絡先情報をどこかの未知のサーバーにアップロードし始めたことを発見しました。監視アプリ「Burp Suite」のコレクションを使って、ジュリアンはサラアの行為を現場で捉えることができました。
ジュリアン氏は、iPhoneやiPadでも同様の現象が発生していることを確認しました。しかも、一度だけ発生するわけではありません。しばらくアプリを使わないと、連絡先が再度共有されてしまうのです。ある金曜日の夜にアプリをテストしたところ、翌週の日曜日の朝にSarahahを再起動した際に、連絡先情報が再びアップロードされていることに気付きました。
それで、Sarahah はその情報を使って何をするのでしょうか?
それで、Sarahah はその情報を使って何をするのでしょうか?
ジュリアン氏は、アプリがサラハのサーバーにアップロードしたアドレス帳を実際にどう利用しているのか確認できなかった。アプリはユーザーの連絡先へのアクセスが必要であることは明らかにしているものの、その情報をスマートフォンからアップロードするかどうかは通知していないとジュリアン氏は指摘する。また、そのデータを実際に利用しているようにも見えない。問題なのは、多くの人が連絡先に、同僚、友人、家族の電話番号や住所だけでなく、誕生日や記念日などの個人情報も保存しているという事実だ。
Sarahahアプリは計画中の「友達を探す」機能のために連絡先を要求した
— ZainAlabdin Tawfiq (@ZainAlabdin878) 2017 年 8 月 27 日
Sarahahの開発者Zain al-Abidin Tawfiq氏は、今後のアップデートで連絡先機能が削除されるとツイートしました。どうやら、連絡先へのアクセスが必要だったのは「友達を探す」機能の実装のためだったようですが、「技術的な問題」により実現が遅れ、最終的に廃止されました。Tawfiq氏はThe Interceptに対し、以前のパートナーがアプリから連絡先機能を削除する予定だったが、「その予定を忘れてしまった」と語りました。
Tawfiq氏は、この機能はSarahahのサーバーから削除されており、連絡先情報はデータベースに保存されていないと述べました。もちろん、これを肯定することも否定することもほぼ不可能です。しかし、連絡先情報を危険にさらす可能性のある機能があるにもかかわらず、それを「見逃す」というのは、かなり重大な問題と言えるでしょう。
Sarahah を入手せずに Sarahah を入手する
Sarahah を入手せずに Sarahah を入手する
プライバシーを気にせず、Sarahahを試してみたい方は、App Storeからダウンロードできます。プライバシーを重視し、連絡先情報を漏らす可能性のあるアプリをインストールしたくない場合は、アプリなしでSarahahを利用できるのも嬉しいポイントです。サービスのウェブサイトにアクセスして、そこからすべて操作するだけで、連絡先データの提供は不要です。
無料
サラハ
ザイン・アラバディン・タウフィク
