×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'App om mensen anoniem te beoordelen stuurt contacten door' - update

Door , 86 reacties

Sarahah, een populaire app waarmee gebruikers elkaar anoniem kunnen beoordelen, stuurde bij installatie de contacten en e-mailadressen van gebruikers door naar een centrale server. Volgens de maker had die functionaliteit eruit gehaald moeten worden.

Onderzoeker Zachary Julian van beveiligingsbedrijf Bishop Fox ontdekte de 'functie' toen hij het verkeer van de Android-versie en later ook de iOS-versie van de app onderzocht met de tool Burp Suite. Hij deelde zijn bevindingen met The Intercept. Volgens de site vraagt de app om toestemming voor het uitlezen van contacten, maar is van te voren niet duidelijk dat deze vervolgens worden doorgestuurd. Ook zou er in de app geen functie zitten waarvoor de gegevens nodig zijn.

In eerste instantie reageerde de maker van de app, Zain al-Abidin Tawfiq, niet op een verzoek om commentaar door The Intercept. Na publicatie van het artikel reageerde hij alsnog via Twitter en claimde dat het was bedoeld om vrienden te vinden, maar dat deze functionaliteit door technische problemen was vertraagd. De server zou de contacten momenteel niet opslaan en de app zou na een nieuwe update niet meer om de gegevens moeten vragen. De functie had door een voormalig partner uit de app verwijderd moeten worden, aldus de maker.

Will Strafach, directeur van beveiligingsbedrijf Sudo Security, legt aan The Intercept uit dat niet te verifiëren is wat een server met de gegevens doet. Ook zou het niet mogelijk zijn om na te gaan of er op een veilige manier met de gegevens wordt omgegaan.

De app Sarahah, wat in het Arabisch 'eerlijkheid' betekent, laat gebruikers elkaar anoniem beoordelen. Uit de Play Store is op te maken dat de Android-versie tussen de 10 en 50 miljoen downloads heeft. Volgens The Verge is de app sinds een aantal maanden zeer populair.

Update, 29-8: Het artikel vermeldde in eerste instantie e-mails in plaats van e-mailadressen, dat is aangepast.

Door Sander van Voorst

Nieuwsredacteur

28-08-2017 • 14:41

86 Linkedin Google+

Reacties (86)

Wijzig sortering
De titel en de tekst van dit bericht doet vermoeden dat de e-mails en contacten van de user werden doorgestuurd. Als ik het bron artikel lees op The Intercept staat er dat het om e-mailadressen en contactpersonen gaat.
Ik snap ook NIETS van het eco-systeem dat het delen/stelen van data zo eenvoudig wordt gemaakt. Ik heb XPrivacy geïnstalleerd en die gaat bij de meeste apps al af omdat ze (onbeperkt) mijn foto's/mail/contacts/telefoondata/SMS'jes willen bekijken...
(als ik DENY, dan werken de meeste apps gewoon nog prima).

Ik vind dat onbeperkt delen een beetje 'eng' en begrijp niet waarom er eigenlijk niet een heel groot slot staat op die al die gegevens en dat het i.t.t. 'altijd beschikbaar' niet gewoon pas na het geven van een wachtwoord eenmalig wordt vrijgegeven...
Probleem is dat het meestal niet zo duidelijk gemaakt wordt bij installatie of mensen kijken of denken er niet aan. Llatst flashlite app die toegang wilde hebben tot van alles.

Maar goed voor google en andere app stores zou hier een mogelijkheid liggen.
Maak duidelijk op de pagina zelf wat de app allemaal wil hebben. Zo kun je meteen selecteren nee die wil ik niet want die wil te veel weten.
foto's/mail/contacts/telefoondata/SMS'jes
[...]
Ik vind dat onbeperkt delen een beetje 'eng' en begrijp niet waarom er eigenlijk niet een heel groot slot staat op die al die gegevens
Zowel in iOS als in Android moet een app eerst om toestemming vragen alvorens deze bij die gegevens komt. Die heb je dan dus zélf gegeven.

[Reactie gewijzigd door RobIII op 28 augustus 2017 15:56]

Ja - dat is zeker waar. Bij het installeren heb je enkel de keuze 'alles of niets'. met xPrivacy kun je wel meer onderscheid maken. Bijv: Geen GPS, wel contacten. Bij installatie kun je dat niet (vooraf) blokkeren(tenminste, niet bij mijn telefoon...)
Sinds Android 6 is het wel mogelijk om dat per functie aan/uit te zetten en horen ontwikkelaars het pas te vragen als ze het gebruiken. Sommige apps targetten nog steeds Android 5 en dan moet je bij installatie alles toestaan, maar kan je (voordat je de app start) het wel uitschakelen in de settings. Android 5 en ouder kunnen dat inderdaad niet.
Maar met Xprivacy kun je volgens mij veel meer permissies blokkeren dan standaard in Android 6, dingen die door Android 6 gewoon doorgelaten worden.
Welke versie van Android heb jij? Vanaf Android 6.0 Marshmallow kun je permissies aanpassen.
Ik lees: tijd voor een nieuwe telefoon :) (* of een nieuwe rom...)
Volgens mij moet ik in stock android op m'n Nexus gewoon per onderdeel toestemming geven.
Dan ben ik toch benieuwd hoe je dit kunt verklaren:
Ik gebruik FB, geregistreerd met abc@example.org. Hiervan heb ik alleen de Messenger-app geïnstalleerd. Deze heeft geen toegang tot mijn adresboek of iets anders dat mij zou moeten kunnen identificeren.

Ik gebruik sinds kort Instagram, geregistreerd op xyz@example.com. Deze app heeft ook geen toegang tot mijn adresboek of iets anders wat mij zou moeten kunnen identificeren.

Toch zie ik zeer regelmatig mensen in "Suggesties voor jou" voorbij komen waarvan het totaal niet logisch is dat ze daar "organisch" zouden verschijnen. (geen mensen uit de buurt, geen gemeenschappelijke vrienden en die zelfs niet in de "tweede graad van verwijdering" zouden zitten als ik ze niet persoonlijk zou kennen)

Enig idee?
Geen idee, misschien kom je op dezelfde locaties als hen (GPS?) of gebruik je WhatsApp? Ik heb geen idee hoe ze 't doen, maar als je geen toestemming hebt gegeven aan die apps om aan je contacten e.d. te komen halen ze 't dus elders vandaan (vrienden van vrienden en whatnot uiteraard ook nog mogelijk).
Er is hier iemand op deze website die altijd blijft volhouden dat Whatsapp geen data deelt met FB en privacy hoog in het vaandel heeft staan, ondanks dat ze metadata opslaan van gebruikers. Iemand die de strategie van FB objectief volgt, weet dat dit natuurlijk onzin is. Whatsapp deelt data met FB en daarom is het goed om die app over boord te gooien en in te wisselen voor een alternatief.
Tikkie apart is dat ik na dit bericht wel weet dat whatsapp mijn SMSjes kan bekijken... Makes sense? Toegang refused from now in ieder geval... :+
Het zou zomaar kunnen dat die mensen die jij ziet verschijnen wél hun data gedeeld hebben. Met andere woorden: een derde persoon is niet eens nodig, jij wordt vanzelf met hen verbonden.

[Reactie gewijzigd door Wasrek op 28 augustus 2017 17:44]

Dit kunnen ook personen zijn die interesse hebben getoond in jou. Bijvoorbeeld door je profiel te bekijken. Ik heb al eens zoiets opgemerkt toen ik zakelijk contact had met een persoon die ik nog nooit eerder gezien of gesproken had. Een paar uur later kwam Facebook met zijn profiel als suggestie. Blijkbaar heeft die persoon mij opgezocht op Facebook om te zien wie ik was.

Edit: Nee, ik belde hem niet met mijn prive telefoon. Dus Facebook kan het niet hebben afgeleid uit mijn belgeschiedenis. Bovendien deel ik die data niet met Facebook. Ik heb vrijwel alle machtigingen van Facebook ontnomen via Android.

[Reactie gewijzigd door 3raser op 29 augustus 2017 13:32]

ik heb op mijn telefoon whatsapp, een weer app uit 2011 en een browser en de rest doe ik lekker op een 2de telefoon of tablet en dus ook niet als ik niet thuis ben.
Daarop staan dan ook helemaal geen persoonlijk details of contacten.
Ben toch al social media moe dus dat gebruik ik al zo goed als niet.

het internet word compleet vergald door al deze bagger en niet alleen bij telefoons is dit het geval. zelfs browsers vragen nu al of ze notificaties mogen geven. Het moet niet gekker worden.
Wat hebben browser notificaties hiermee te maken?
Niets, maar dat haalt hij aan om aan te geven dat alles tegenwoordig permissies nodig heeft.
En dat je ongeacht wat gewoon scherp moet blijven anders krijg je van de gekste apps of programma een notificatie.
Je weet dat je 9/10 die opties niet kan uizetten op een telefoon die niet geroot is?

Ik snap ook niet waarom de helft van de apps, toegang moet hebben bij het vragen en probeer het ook uit te schakelen. Maar ik heb geen rootted telefoon, en kan niet alles uitschakelen.

Dat is net z'n enorme irritante kutfunctie, als het niet kunnen afspelen van YouTube als je lockscreen aanzet.

Ik kan muziek afspelen met locked screen, dan kan YT dat ook @!@#
Dat doet youtube uiteraart express, in youtube red kan dat namelijk wel. een heel simpel truckje dat ik hiervoor heb is youtube gewoon in firefox openen, de desktop versie aanvragen. dan kan je hem gewoon vergrendelen en speelt ie vrolijk door. werkt niet helemaal perfect maar iets is beter dan niets.
Ik gebruik NoPauze Lock op dit moment i.c.m een oude versie van "Stream".

Thanks voor de tip

[Reactie gewijzigd door Bjorn89 op 29 augustus 2017 11:02]

https://en.wikipedia.org/wiki/Nosedive

Dacht dat dit fictie was maar we zijn dus al zover :'(
Dat geldt denk ik voor vrij veel 'black mirror' afleveringen: vaak zitten we technisch al vrij dicht bij wat er mogelijk is - en zouden de sociale gevolgen best goed kunnen matchen met die in de serie.
ik ben inderdaad erg benieuwd hoe erg deze app geinspireerd is door deze aflevering. Gaan mensen nu ook nep-aardig doen tegen mensen om goede beoordeling te krijgen...?
https://en.wikipedia.org/wiki/Nosedive
Dacht dat dit fictie was maar we zijn dus al zover :'(
Ja helaas. Hier op Tweakers gebeurt dat "anoniem beoordelen" trouwens ook constant, dus ik vrees dat het de normaalste zaak van de wereld gaat worden.
Ik vind wat we op tweakers doen toch wel heel anders dan wat deze app doet. met die app beordeel je een persoon als geheel, op tweakers beordeel je slechts of iemands opmerking een zinvolle bijdrage is aan de discussie. het is nogsteeds een vorm van sociale controle, maar wel een heel andere gradatie die ook een heel ander effect zal hebben.
Ach dit maak je ook op simpele Nederlandse app's mee.
Heb een nieuws app van een voetbal club waar ook om je gps locatie en contacten word gevraagd bij het opstarten. Weiger ik ze dan werkt de app niet, maar waarom zou ik toestaan. Ze hebben met beide niks te maken. Het nieuws aanbod verandert geen letter. Je kan reageren, daarvoor moet je inloggen. Nogsteeds zijn dan beide niet echt nodig.

Het stomme is, je kan er verder niks mee. De meeste accepteren het gewoon. Heb zelf nu de site in favorieten zodat hij in de browser word geopend. Toch zou het fijn zijn als hier beter tegen op getreden wordt.
Jup, apps vragen veel te veel toegang en info.
wat is het doel/nut van deze app? je eigen ego boosten? speeltuin voor trolls?

ik word oud denk ik

[Reactie gewijzigd door Alxndr op 28 augustus 2017 15:35]

Ach ik zie best nut in zo'n app. Veel mensen zijn toch vaak terughoudend met zeggen wat ze echt van iemand vinden, of wat ze vinden van bepaalde handelingen van iemand. Daardoor zorgen ze juist dat die persoon dus wel doorgaat met dat gedrag. Als je er niet op aangesproken wordt.....

Hoe vaak komt het wel niet voor dat een collega/vriend niet helemaal fris ruikt vanuit... waar dan ook. Of dat je je ergert aan een bepaalde karaktertrek van iemand? Of dat iemand wat op zijn tanden heeft? genoeg mensen zeggen dan maar gewoon niks...

Probleem is alleen dat veel mensen dit soort kritiek niet kunnen hebben :Y) dus tja... En wie zegt dat ik niet gewoon 1 iemand uitnodig? dan weet ik dus precies wat voor kritiek die persoon op mij geeft :+

Misschien wel leuk om een topic aan te maken onder Tweakers die veel hier op het forum komen }>

[Reactie gewijzigd door waah op 28 augustus 2017 15:04]

Zouden mensen die moeilijk tegen kritiek kunnen andere mensen uitnodigen om kritiek op hen te leveren?
Veel mensen zijn toch vaak terughoudend met zeggen wat ze echt van iemand vinden
En dat lijkt me maar goed ook. Er is een vrijheid van meningsuiting maar dat wil niet zeggen dat alle meningen ook geuit moeten worden.
Overal waar mensen anoniem dingen kunnen zeggen wordt er vaak veel te veel gezegd en worden er veel te harde woorden gebruikt. Anoniem zou je niks meer en niks anders moeten zeggen dan dat je iemand in zijn gezicht zou zeggen. Dus als iemand niet lekker ruikt dan accepteer je dat of zeg je deze persoon dat in zijn gezicht, maar dat doe je niet anoniem via een app.
Ik snap het ook totaal niet deze app was ook in het nieuws laatst(Of een soort gelijke app), hierdoor werden 2 kinderen toch aardig gekwetst toen ze er achter kwamen hoe mensen over hun dachten.

[Reactie gewijzigd door Carlos0_0 op 28 augustus 2017 14:52]

Het lijkt me vooral bedoeld voor tieners. Maar als ik de website lees, kan je het gebruiken om je collega's en bazen anoniem te beoordelen: https://www.sarahah.com/ .

De app is wel lekker viraal: https://twitter.com/hasht...vertical=default&src=hash
Ik kan het niet laten: ik word zonder t...
klopt toch voor de eerste persoon.. stam zonder t
hahaha, f*ck, thanks |:(
Vooral zelfverheerlijking denk ik.

Voor als Instagram, Facebook en dergelijke nog niet genoeg waren.
Er zijn genoeg plekken op aarde waar mensen niet weten hoe het is om recht voor je raap te zijn en wordt dan ook enorm erg op neergekeken.

Op deze manier weten ze wat men 'echt' over hen denkt(neem een baas b.v) vinden ze me leuk omdat ik een toffe baas ben, of kussen ze me kont omdat ik de baas ben?

Het is meer een zielige app dan wat anders, want de app heeft als 'premise' dat men oneerlijk is tegen je. Tevens denk ik dat je teveel met andere bezig bent als je constant afvraagt 'wat denken ze echt van me'

Leef je voor andere of voor jezelf, want als je constant met andere bezig bent wie leeft er dan jouw leven?
Alxndr krijgt denk ik een negatieve beoordeling van je op sarahah? :)
Volgens de maker had die functionaliteit eruit gehaald moeten worden.
En dan niet controleren of dit ook echt gebeurd is, smells fishy imo...
En deze functionaliteit wel eerst inbouwen...
Ja, inderdaad. Ik ben sinds kort voor de hobby begonnen om een beetje te leren hoe je Android-apps moet bouwen, en voor elk miniscuul dingetje moet je code toevoegen, anders werkt het gewoon niet. Iets 'per ongeluk' in een app bouwen is mijns inziens bijna onmogelijk..
Nergens wordt dan ook geclaimd dat dit "per ongeluk" er in is gekomen. Dit was bewuste functionaliteit die ze er in probeerden te implementeren, maar die er uiteindelijk alsnog uitgehaald moest worden. Dit staat zowel in het artikel als in de tweet van de developer.
Dat is althans wat de developer beweert.
Nou zoals je een website templates hebt zijn er ook voor apps.
Dus verwacht ik dat die juist uitgeschakeld moest woorden maar niet gedaan werd.
Jij bouwt nooit nutteloze features in die persoonlijke gegevens of contactgegevens opvragen maar daar uiteindelijk helemaal niks (echt niet) mee doet?
Dat is wel de insteek meestal. Wanneer een app niet noodzakelijke info vereist kun je er vanuit gaan dat alle beschikbare data gebruikt wordt voor andere doelen dan wat de app vertelt.
Een lijfspreuk van me. Maar in dit geval twijfel ik toch.

Bijvoorbeeld, niet alleen de functie er per-ongeluk in laten zitten, maar ok per-ongeluk de server die de gegevens ontvangt actief houden. Maar wel de server aangepast dat de gegevens niet worden opgeslagen?

Nee, hier is opzet in het spel.
Waarom zit deze functionaliteit er uberhaupt in?
Het idee was dat je ze toegang geeft tot je adresboek en als in de database van elke gebruiker een e-mailadres staat kunnen ze je makkelijk koppelen aan je vrienden.
Alleen is die functie vertraagd. (Officieel)
En waarom sturen ze e-mails door? Ik lees toch e-mails als berichten en niet als e-mailadressen. Is dit eigenlijk wel mogelijk... Ik kan me moeilijk inbeelden dat ze mijn 9 GB aan inbox doorsturen. Dat is diefstal.
Volgensmij bedoelen ze dat als jij je registreert ze je e-mailadres (of die van jou + alle e-mailadressen in je adresboek) naar de server van de App sturen.
Ze sturen geen e-mails door, alleen e-mailadressen. Aldus het artikel op The Intercept. Amateuristisch stukje journalistiek weer van Tweakers.
Misschien moet je het artikel lezen. Ze sturen namelijk geen e-mails.

Edit: lol, ik moet zelf leren lezen 8)7
Ik dacht dat je zei dat ze zelf e-mails stuurde.

[Reactie gewijzigd door Nogne op 28 augustus 2017 15:17]

Het staat toch letterlijk in de titel en voorwoord. Ik ben niet de enige die verward was: menne in 'nieuws: 'App om mensen anoniem te beoordelen stuurt e-mails en cont...
Dat staat gewoon in het artikel:
en claimde dat het was bedoeld om vrienden te vinden, maar dat deze functionaliteit door technische problemen was vertraagd.
dat is althans de claim van de maker
Big-data. Iedereen kiest er massaal voor dit soort dingen te willen delen.
Gelukkig zijn er ook steeds meer mensen die er niet meer aan meedoen. Op wat oudere ooms en tantes na zit er inmiddels niemand in de familie meer op Facebook bijvoorbeeld. De enige sociale app die we nog veelvuldig gebruiken is WhatsApp. En zelfs dat is beperkt tot het noodzakelijke.

Ik kan niet voor anderen spreken, maar zelf ben ik op enig moment tot de conclusie gekomen dat al die apps je hooguit nerveus maken en verder 0,0 toevoegen aan je leven. Liever een keer per jaar een goed lang en diep gesprek, dan dagelijks elkaars sushi liken.
Gelukkig zijn er ook steeds meer mensen die er niet meer aan meedoen. Op wat oudere ooms en tantes na zit er inmiddels niemand in de familie meer op Facebook bijvoorbeeld. De enige sociale app die we nog veelvuldig gebruiken is WhatsApp. En zelfs dat is beperkt tot het noodzakelijke.
whatsapp is facebook, dus je bent er toch nog niet van af...
Ook al kies je er niet voor, slechts één contactpersoon die kent (en die ook jou kent) hoeft het te hebben, en zijn/haar contactenlijst (met jou daarin) wordt permanent opgeslagen in een database van dit walgelijke bedrijf, eventueel met naam, adres, email, gsm, geboortedatum en profielfoto's erbij.
Het meest erge is dat mensen die zorgvuldig omgaan met privacy door de gebruiker van deze App's alsnog benadeeld worden. Persoonlijk zou ik toegang tot de server van die gast willen hebben en tot alle backups om te controleren of zijn statement waar is. Ik voel mij er heel erg ongemakkelijk bij dat mijn e-mail, telefoonnummer, naam in een land op een server staan waar het niet zo nauw wordt genomen met de mensenrechten. Bovendien is Saoedi Arabië een zwaar Salafistisch land (Bron: Salafisme) waarbij we wel even in de gaten moeten houden dat je niet wilt dat persoonsgegevens in die handen terecht komen. Zeker omdat Salafisme min of meer gelinkt kan worden aan Terrorisme.

[Reactie gewijzigd door Wim-Bart op 29 augustus 2017 02:29]

Drogreden. Waarom zou je het enkel gebruiken om elkaar's sushi te liken? Waarom niet om af te spreken voor goede, diepe gesprekken, om te discussiëren over zwaarwichtige onderwerpen, of om contact te houden met goede vrienden waar je niet jaarlijks mee af kan spreken?

Dit is hetzelfde als zeggen dat je de telefoon de deur uit gedaan hebt omdat telefoongesprekken toch alleen maar over betekenisloze onzin gaan.
Zoals vermeld: WhatsApp wordt nog steeds gebruikt, en is inderdaad prima om met iemand af te spreken.

Als jij je diepgaande gesprekken liever op Facebook voert is dat prima. Zelf kom ik dat echter zelden tegen. Toen Facebook nog wel gebruikt werd in de familie beperkte zich dat tot bijzonder basale berichten.

Voor het serieuzere werk kom ik al snel op WhatsApp, telefoon of face-to-face gesprekken uit. Dat is geen drogreden maar simpelweg een constatering van mijn realiteit.

Gegeven die realiteit zie ik, en velen met mij, simpelweg geen nut meer in Facebook.
FOMO > De angst om sociaal iets te missen is een belangrijk aspect hierin en waarom het dus nog steeds stand houdt.
Heel erg bizar..Dan denk je dat je gegevens anoniem worden verstuurd, maar dit is dus helemaal het geval niet. Je gaat mij niet wijsmaken dat de organisatie hierachter dit niet wist. Het zou wat zijn dat je je eigen applicatie niet kent. Maar goed, we leven in een opmerkelijke wereld.

Het wordt tijd dat zulke bedrijven gestraft worden, en goed ook. Met bijvoorbeeld een gigantische boete...Maar ik weet niet of dit mogelijk is. Privacy is hedendaags toch wel één van de belangrijkste besproken topic.

Maar goed, laten ze maar is bewijzen dat ze niets hebben gedaan met deze gegevens, dat zal dingen wel een stuk duidelijker maken.
Organisatie, bedrijf? De App is volgens mij ontwikkeld door 1 jonge persoon uit Saoudi-Arabie. Technisch is dat niet moeilijk. De App is nu viraal gegaan en het is afwachten of die persoon de druk wel aankan. Met anonieme beoordelingen help cyberpesten altijd in de hand. Ik kan me inbeelden dat die man nu honderden e-mails krijgt van mensen die dreigen met advocaten en willen achterhalen van wie grove boodschappen of doodsbedreigingen afkomstig zijn. Succes ermee. Ik denk dat dit privacyprobleem nog de minsten van zijn zorgen zijn.

[Reactie gewijzigd door biglia op 28 augustus 2017 15:16]

Maar in Android kan je deze rechten toch gewoon blokkeren?
anoniem en dan data loggen - dat is contradictorisch. Als je dan zo verstandig bent commentaar over meerderen te geven (in welke toestand dan ook) - en ze hebben je data... - dan kan je jezelf lekker veel schade toebrengen. Alsof Facebook/Twitter en consoorten nog niet erg genoeg zijn - m.a.w. - ok ik ben een cynische ouwe zak - maar ik heb geleerd om van die zaken af te blijven.
En om zeker te zijn vliegt dat bedrijf op mijn zwarte lijst - omdat men gewoon geen anonieme service mag beloven met logging van die gegevens.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*