|

چطور پیام‌رسان‌های ایتا، روبیکا و بله ناامن شناخته شدند؟

امنیت اطلاعات و حفظ حریم خصوصی کاربران در پیام‌رسان‌های بومی یا داخلی از ابتدای شروع کار آنها در کشور مورد شک و تردید کاربران و کارشناسان امنیتی بوده است.

چطور پیام‌رسان‌های ایتا، روبیکا و بله ناامن شناخته شدند؟

 امنیت اطلاعات و حفظ حریم خصوصی کاربران در پیام‌رسان‌های بومی یا داخلی از ابتدای شروع کار آنها در کشور مورد شک و تردید کاربران و کارشناسان امنیتی بوده است. تاکنون بارها خبر هک اطلاعات یا حذف پیام‌رسان‌های بومی از اپ‌استورهای خارجی به دلیل رعایت‌نکردن پروتکل‌های امنیتی شنیده شده و بسیاری از کارشناسان هم با ارائه مستنداتی گفته‌اند که این پیام‌رسان‌ها امن نیستند، هرچند مدیران این پیام‌رسان‌ها پیوسته تأکید کرده‌اند که این گفته‌ها برای تخریب آنها اظهار می‌شود و گروهی می‌خواهند جلوی استقبال کاربران از پیام‌رسان‌های بومی را بگیرند. با این حال جدیدترین نتایج یک گزارش تحقیقاتی روی سه پیام‌رسانی که بیشتر از همه در ایران با استقبال مواجه هستند یعنی ایتا، روبیکا و بله نشان داده که این سه پیام‌رسان به‌هیچ‌وجه ایمن نیستند و امکان رصد کاربران در این پلتفرم‌ها وجود دارد. اما چقدر نتایج این گزارش قابل اعتماد است؟ چطور برخلاف ادعای مدیران این پیام‌رسان‌ها که از سطح بالای امنیت و رمزنگاری پیام‌ها در این سرویس‌ها خبر می‌دهند، این گزارش اعلام کرده که هیچ رمز‌نگاری در این پیام‌رسان‌ها صورت نمی‌گیرد؟ آیا راهی برای حفظ امنیت افرادی وجود دارد که مجبور به استفاده از این پیام‌رسان‌ها در کشور هستند؟

ایجاد محدودیت و دسترسی به کاربران میلیونی

در یک دهه اخیر و به‌ویژه از زمان شروع محدودیت‌های اینترنتی و فیلترینگ گسترده سرویس‌های خارجی در دولت گذشته سیاست‌های جدی برای استفاده از پیام‌رسان‌های داخلی به کار گرفته شد. برای افزایش استفاده از این پیام‌رسان‌ها در سه سال گذشته ارائه بسیاری از خدمات ضروری آنلاین مانند ثبت‌نام در دانشگاه، آموزش در مدارس، خدمات در مراکز بهداشتی، بانکداری، بازنشستگی و... به این پیام‌رسان‌ها منتقل شده است.

این حمایت‌های تشویقی از سمت دولت به پیام‌رسان‌های بومی به بالارفتن تعداد کاربران آنها که مشخصا به اجبار در آن ثبت‌نام کرده‌اند کمک شایانی کرده است. طبق آخرین اطلاعاتی که از طریق وزارت ارتباطات دولت سیزدهم که از حامیان اصلی پیام‌رسان‌های بومی بود، منتشر شده حدود ۸۹ میلیون نفر در پیام‌رسان‌های بومی ثبت‌نام کرده‌اند. در بین پیام‌رسان‌های مختلفی که در کشور فعالیت می‌کنند و بارها از سمت دولت‌های دوازدهم و سیزدهم حمایت‌های مادی از جمله اعطای وام پنج میلیاردی، واگذاری زیرساخت‌های شبکه و... دریافت کرده‌اند؛ ایتا، بله و روبیکا از استقبال بیشتری برخوردار بوده‌اند. تا خرداد سال ۱۴۰۳ براساس اعلام وزارت ارتباطات دولت سیزدهم روبیکا ۴۴.۷ میلیون کاربر داشته و تعداد کاربران ایتا هم به ۳۰.۵ میلیون کاربر رسیده است. همچنین در این بین کاربران پیام‌رسان بله ۱۳ میلیون گزارش شده است.

امنیت ایتا، بله و روبیکا چطور ارزیابی شده است؟

آزمایشگاه امنیتی صندوق فناوری باز (OTF) در مراحل مختلف و در یک محیط آزمایشگاهی به بررسی وضعیت امنیتی این سه پیام‌رسان پرداخته و در نهایت اعلام کرده آنها به‌هیچ‌وجه ایمن نیستند. فاز اول این بررسی در دسامبر ۲۰۲۳ انجام شده است. این فاز شامل تحلیل ایستا (بررسی کد بدون اجرای برنامه) و مهندسی معکوس برای ارزیابی روش‌های رمزگذاری و نگرانی‌های مرتبط با حریم خصوصی در سطح پلتفرم بوده است. پرسش‌ اصلی در این ارزیابی این بوده که آیا این برنامه‌ها واقعا از 

E2EE) End-to-end encryption) یا رمزگذاری سرتاسر برای پیام‌های کاربر به کاربر استفاده می‌کنند؟ و همچنین آیا نگرانی‌های امنیتی و حریم خصوصی قابل توجهی برای کاربران وجود دارد؟

در نهایت فاز دوم در اکتبر ۲۰۲۴ به اجرا گذاشته شده است. این فاز شامل تحلیل پویا (بررسی رفتار برنامه در حین اجرا) برای اعتبارسنجی یافته‌های فاز اول بود. پرسش اصلی در این فاز این بود که از چه نوع رمزگذاری استفاده می‌شود؟ و اینکه آیا ارتباطات بین این سه اپلیکیشن امن است؟

پس از انجام این فاز‌ها نتایج درباره امنیت این سه پیام‌رسان منتشر شده است. طبق این بررسی مشخص شده که هیچ‌یک از این پیام‌رسان‌ها از E2EE برای حفاظت از مکالمات کاربران در برابر سرورهای پشتیبان استفاده نمی‌کنند. در هر سه اپلیکیشن، زمانی که کاربران روی لینک‌هایی که در پیام‌ها برایشان ارسال شده کلیک می‌کردند، به سرور پشتیبان برنامه هدایت می‌شدند و آدرس اصلی (URL) به‌عنوان بخشی از کوئری به سرور ارسال می‌شد. این فرایند به سرورها اجازه می‌دهد وب‌سایت‌هایی را که کاربران درون برنامه مشاهده می‌کنند، تحت نظارت قرار دهند.

در ایتا، داده‌های کاربر (مثل تاریخچه پیام‌ها) ممکن است توسط مهاجمی با دسترسی فیزیکی به دستگاه، استخراج شود. از سوی دیگر پیام‌های پیش‌نویس در ایتا به سرور ارسال می‌شوند.

در روبیکا، ترافیک رمزگذاری‌نشده کشف شد. این آسیب‌پذیری به هرکسی که شبکه را نظارت می‌کند اجازه می‌دهد داده‌‌های حساس مانند رمز عبور یا اطلاعات شخصی را در صورت ارسال در قالب متن ساده، رهگیری و مشاهده کند.

در بله، داده موقعیت مکانی کاربر در زمان احراز هویت به سرور ارسال می‌شود. در این اپلیکیشن از نوعی رمزنگاری استفاده می‌شود که می‌توان آن را به راحتی بازگشایی کرد.

همچنین این ارزیابی نشان می‌دهد که تنها اپلیکیشن‌های ایتا و روبیکا براساس کد منبع یکی از نسخه‌های تلگرام ساخته شده‌اند. این در حالی است که این دو پلتفرم بارها اعلام کرده‌اند که در داخل کشور و توسط برنامه‌نویسان ایرانی توسعه داده شده‌اند.

یکی دیگر از یافته‌های مهم این گزارش این است که طرح متقابل اتصال پیام‌رسان‌ها که اردیبهشت سال گذشته وزارت ارتباطات دولت سیزدهم از آن رونمایی کرد، از پروتکل امنی برای انتقال پیام‌های بین کاربران پیام‌رسان‌ها استفاده نمی‌کند. در این گزارش اعلام شده که در طرح اتصال متقابل پیام‌رسان‌های داخلی از پروتکلی به نام MXB استفاده شده که در آن امکان خواندن پیام‌ها وجود دارد. ناامن‌بودن پروتکل استفاده‌شده در طرح اتصال متقابل پیام‌رسان‌های داخلی در حالی مطرح می‌شود که عیسی زارع‌پور، وزیر ارتباطات پیشین، در مراسم رونمایی از این طرح در جمع خبرنگاران در پاسخ به امن‌بودن این پروتکل گفت: «پیام‌رسان‌های مختلف از طریق این پروتکل به هم متصل می‌شوند و این پروتکل هم کاملا امن و استاندارد است و به شیوه End-To-End پیام‌ها در این پروتکل رمزنگاری می‌شوند». همچنین او تأکید کرده بود که وزارت ارتباطات به‌عنوان تنظیم‌گر این حوزه، پروتکل‌های امنیتی در این زمینه را تدوین کرده و برای اجرا در اختیار پیام‌رسان‌ها گذاشته است. همچنین به گفته او برای به‌وجودنیامدن هر نوع مشکلی هم روی اجراشدن این طرح نظارت دارد.

چقدر داده‌های این گزارش معتبر است؟

به جز داده‌های این گزارش تاکنون بارها امنیت اطلاعات و حریم خصوصی در پیام‌رسان‌های بومی مورد سؤال قرار گرفته است. شک و تردید درباره امن‌بودن این سرویس‌ها زمانی که خبری از درز اطلاعات از آنها رسانه‌ای شده، پررنگ‌تر هم شده است. برای نمونه مرداد سال ۱۴۰۲ بود که در شبکه اجتماعی ایکس‌ (توییتر سابق) تصویری از مانیتور یکی از کارمندان پیام‌رسان بله ‌منتشر شد که نشان می‌داد به محتوای چت خصوصی کاربران دسترسی دارد. در این بین هم با ابراز نگرانی کاربران از امنیتشان در آن زمان، سازمان فناوری اطلاعات پا به میان گذاشت و در اطلاعیه‌ای خواستار توضیحات پیام‌رسان بله شد. در نهایت هم بله اطلاعیه‌ای داد و گفت هیچ نقض حریم خصوصی صورت نگرفته و اطلاعات کاربرانش در این پیام‌رسان مانند همیشه امن است.

در همین زمینه بارها امنیت اطلاعات در روبیکا مورد سؤال قرار گرفته است. نسخه اندروید این پلتفرم در مرداد ۱۴۰۰ به‌ دلیل سوءاستفاده از اطلاعات کاربران و ساخت حساب‌های جعلی در چندین سرویس از جمله پلی‌استور گوگل حذف شد. در گام بعدی هم آبان ۱۴۰۱ سپر محافظ گوگل‌پلی (Play Protection) به کاربران روبیکا هشدار داد که این برنامه از اطلاعات شخصی آنها سوءاستفاده می‌کند. اگرچه روبیکا هم در این زمینه سکوت نکرد و از گوگل خواست دلایل فنی درباره این ادعایش را منتشر کند و از طرف دیگر عیسی‌ زارع‌پور، وزیر ارتباطات دولت سیزدهم، این اقدام گوگل را سیاسی و برای جلوگیری از نصب این برنامه روی گوشی کاربران ایرانی توصیف کرد. با تمام اینها آیا پیام‌رسان‌های بومی واقعا ناامن هستند؟ و چقدر می‌توان به داده‌های گزارش OTF اتکا کرد.

وحید فرید، کارشناس حوزه فناوری اطلاعات و اینترنت، در گفت‌وگو با «شرق» اعلام می‌کند که این گزارش به جز در چندین موارد اطلاعات جدیدی ندارد و در سال‌های گذشته بسیاری از کارشناسان نسبت به امنیت پایین این پیام‌رسان‌ها هشدار داده‌ بودند.

به گفته او اصلی‌ترین نکته درباره این سه پیام‌رسان که مورد بررسی قرار گرفته این موضوع است که هیچ‌کدام از قابلیت رمزنگاری E2E استفاده نمی‌کنند، هرچند خود آنها هم در این زمینه ادعایی ندارند و حتی در بخش قوانین و مقررات خود به این موضوع اشاره نکرده‌اند.

براساس توضیحات او یکی دیگر از عواملی که می‌تواند داده‌های این گزارش را تأیید کند، این بود که مشخص شد که پیام کاربران قابل مانیتور است.

او با اشاره به اطلاعات جدید این گزارش به «شرق» می‌گوید: «چند نکته جدید در این گزارش وجود داشت، از جمله اینکه تمامی URLها یعنی تمام آدرس‌هایی که در یک پیام بین دو فرد یا چند فرد رد و بدل می‌شود در سامانه‌ای که وجود دارد مانیتور شده و بعد ارسال می‌شود».

او ادامه می‌دهد: «نکته دیگری که این گزارش روشن می‌کند این است که به دلیل ناامن‌بودن شرایط حفظ اطلاعات در این پیام‌رسان‌ها، اگر گوشی فردی هک شود یا گوشی در اختیار هکری قرار بگیرد، چون پیام‌ها به صورت رمزگذاری‌شده نگهداری نمی‌شود، هکر می‌تواند به اطلاعات روی این پیام‌رسان‌ها دسترسی داشته باشد. از سوی دیگر در پیام‌رسانی مانند ایتا اگر کاربری فقط پیام را تایپ و ارسال نکند بازهم این پیام در سرور نگهداری می‌شود و قابل خواندن است».

به گفته فرید یکی دیگر از نکات جالب این گزارش تأیید بر وابسته‌بودن این سه پیام‌رسان به نهادهای دولتی است. فرید اعلام می‌کند با اینکه تاکنون بارها گفته شده این پیام‌رسان‌ها از بخش خصوصی نیستند، اما مدیران آنها این گزاره را رد کرده‌اند.

از سوی دیگر فرید اعلام می‌کند که این گزارش ادعای سال گذشته عیسی‌زارع‌پور، وزیر ارتباطات دولت سیزدهم را هم زیر سؤال برده است که گفته بود در پیاده‌سازی طرح متقابل پیام‌رسان‌های داخلی از پروتکل امن و  End-To-End استفاده شده است. او در این مورد توضیح داد: «ادعای آقای زارع‌پور در این زمینه همان زمان هم کاملا نادرست بود، چراکه هیچ‌کدام از پیام‌رسان‌های ما از قابلیت End-To-End استفاده نمی‌کنند که حالا قرار باشد در این طرح نیز پیام‌های End-To-End بین پیام‌رسان‌ها رد‌وبدل شود».

آیا باید نگران اطلاعات خود باشید؟

بعد از انتشار این گزارش از سوی OTF برخی کارشناسان و صاحب‌نظران در حوزه امنیت اعلام کردند که باقی‌ماندن این اپ‌ها روی گوشی خطرناک است و اگر هم آنها از روی گوشی پاک شوند امکان دسترسی به اطلاعات و رصد گوشی کاربران وجود دارد. این اظهارات باعث نگرانی بسیاری از کاربران شده که به اجبار برای دریافت برخی خدمات دولتی، آنها را روی گوشی خود نصب کرده‌اند. وحید فرید این نگرانی‌ها را بی‌مورد می‌داند و تأکید می‌کند که با پاک‌کردن این برنامه‌ها از روی گوشی دیگر آنها امکان دسترسی به اطلاعات خصوصی کاربران را ندارند. او در این مورد می‌گوید:‌ «در همین گزارش به این موضوع اشاره و تأکید شده که این پیام‌رسان‌ها دسترسی به فضای گوشی شما یا امکان شنود دیگر برنامه‌های شما را ندارند و غیر از چیزی که کاربران به آن امکان دسترسی می‌دهند، پیام‌رسان به برنامه دیگری دسترسی ندارد». او تأکید می‌کند که وقتی برنامه را از روی گوشی خود پاک می‌کنید، این برنامه دیگر پاک شده است و در صورتی امکان نگرانی وجود دارد که هنگام نصب این برنامه بدافزاری هم روی گوشی نصب شده باشد که عموما این اتفاق توسط سیستم‌عامل اندروید تشخیص داده می‌شود و به کاربر هشدار می‌دهد.

برای جویاشدن از وضعیت امنیت اطلاعات کاربران در بله، ایتا و روبیکا، «شرق» بارها با مدیران این سه پیام‌رسان تماس گرفت، اما هیچ‌کدام از آنها به این تماس‌ها پاسخ ندادند. در این بین تنها «بله» به صورت کلی اطلاعات این گزارش را تکذیب و تأیید کرد که اطلاعات کاربران این پیام‌رسان همیشه در شرایط امن نگهداری می‌شود. همچنین این پیام‌رسان برای ارائه پاسخ به سؤال‌های ما درخواست زمان بیشتری داشت.

در فضای همیشگی اما و اگر درباره حفظ امنیت و حریم خصوصی کاربران در پیام‌رسان‌های بومی، بهترین پیشنهادی که کارشناسان به افرادی که برای دریافت بعضی خدمات مجبور به نصب و استفاده از پیام‌رسان‌ها هستند، این است که اطلاعات حساس و مهم خود را به‌هیچ‌وجه از طریق این پیام‌رسان‌ها ردوبدل نکنند.