Por Gabriel Ribeiro, para o TechTudo


A versão web do Sarahah está "repleta de falhas" que podem comprometer a privacidade dos usuários. É o que diz Scott Helme, especialista em segurança digital fundador da Security Headers. O pesquisador analisou a fundo o site do aplicativo e descobriu algumas brechas no código que podem ser exploradas por hackers.

O Sarahah ganhou a Internet nos últimos meses e traz uma proposta já bastante conhecida pelo público: postar mensagens anônimas a outros usuários. Em julho, o app também virou febre no Brasil, ultrapassando em número de downloads diários até mesmo os aplicativos de gigantes da Internet de Youtube e Instagram.

Sarahah — Foto: Ana Marques/TechTudo

Ações indesejadas e número sequencial

Um dos problemas encontrados foi na proteção contra CSRF (falsificação de solicitação entre sites) na versão web do aplicativo. Helme descobriu que era "bastante fácil" ignorar a proteção. CSRF é uma classe de ataque que obriga o usuário final a executar ações indesejadas em aplicativo da Web. Além disso, o sistema do Sarahah identifica cada usuário e post por um número sequencial. Uma prática bastante condenada e que tornaria identificação mais fácil em um ataque.

Filtro de palavras falho

Outro problema encontrado está no moderação de postagens. O Sarahah consegue evitar que alguns comentários com palavras específicas sejam publicados. No entanto, no teste efetuado por Scott Helme, a filtragem mostrou-se bastante rudimentar, deixando passar palavras ofensivas sem maiores problemas. Por outro lado, palavras como "script" entram na lista negra do aplicativo.

Um script também pode ser usado para evitar que um usuário consiga efetuar um login. Um hacker poderia usar um ataque de força bruta para bloquear o acesso a conta, utilizando a proteção contra senhas erradas a seu favor. Bloquear a palavra "scrip" ajuda mas há outras maneiras de injetar JavaScript sem usar a tag do script.

Mensagens sem limite

Helme também descobriu que o Sarahah não tem nenhum tipo de limitação e permite que um usuário envie mensagens em massa. Usuários são capazes de bombardear uma vítima de bullying com um número infinito de mensagens de assédio, "escrevendo um script bastante básico", disse o especialista.

Ao mesmo tempo, o Sarahah também não possui uma função de exclusão de posts em massa, forçando a vítima a ler — ou pelo menos a olhar — todas as mensagens de assédio que receberam. Vale lembrar que a proposta do app é enviar e receber "feedbacks" positivos, mas nem sempre os usuários respeitam.

Correções em curso

O Sarahah já foi comunicado e prometeu corrigir as falhas, porém não deu um prazo específico. Problemas de segurança em aplicativos que prometem o anonimato não chega a ser novidade. No passado, o próprio Sarahah já tinha sido alertado por outras vulnerabilidades e por solicitar sem motivo a lista de contatos.

A versão web do Sarahah funciona no endereço Sarahah.com e o relatório completo sobre as falhas de segurança está no site de Scott Helme em uma página dedicada ao caso (https://scotthelme.co.uk/sarahah) com conteúdo em inglês.

Veja como funciona o Saraha; vídeo

Conheça o Sarahah, novo app de mensagens anônimas

Conheça o Sarahah, novo app de mensagens anônimas

Dúvidas sobre segurança? Deixe sua pergunta no Fórum do TechTudo.

Mais do TechTudo