چطور پیامرسانهای ایتا، روبیکا و بله ناامن شناخته شدند؟
امنیت اطلاعات و حفظ حریم خصوصی کاربران در پیامرسانهای بومی یا داخلی از ابتدای شروع کار آنها در کشور مورد شک و تردید کاربران و کارشناسان امنیتی بوده است.
امنیت اطلاعات و حفظ حریم خصوصی کاربران در پیامرسانهای بومی یا داخلی از ابتدای شروع کار آنها در کشور مورد شک و تردید کاربران و کارشناسان امنیتی بوده است. تاکنون بارها خبر هک اطلاعات یا حذف پیامرسانهای بومی از اپاستورهای خارجی به دلیل رعایتنکردن پروتکلهای امنیتی شنیده شده و بسیاری از کارشناسان هم با ارائه مستنداتی گفتهاند که این پیامرسانها امن نیستند، هرچند مدیران این پیامرسانها پیوسته تأکید کردهاند که این گفتهها برای تخریب آنها اظهار میشود و گروهی میخواهند جلوی استقبال کاربران از پیامرسانهای بومی را بگیرند. با این حال جدیدترین نتایج یک گزارش تحقیقاتی روی سه پیامرسانی که بیشتر از همه در ایران با استقبال مواجه هستند یعنی ایتا، روبیکا و بله نشان داده که این سه پیامرسان بههیچوجه ایمن نیستند و امکان رصد کاربران در این پلتفرمها وجود دارد. اما چقدر نتایج این گزارش قابل اعتماد است؟ چطور برخلاف ادعای مدیران این پیامرسانها که از سطح بالای امنیت و رمزنگاری پیامها در این سرویسها خبر میدهند، این گزارش اعلام کرده که هیچ رمزنگاری در این پیامرسانها صورت نمیگیرد؟ آیا راهی برای حفظ امنیت افرادی وجود دارد که مجبور به استفاده از این پیامرسانها در کشور هستند؟
ایجاد محدودیت و دسترسی به کاربران میلیونی
در یک دهه اخیر و بهویژه از زمان شروع محدودیتهای اینترنتی و فیلترینگ گسترده سرویسهای خارجی در دولت گذشته سیاستهای جدی برای استفاده از پیامرسانهای داخلی به کار گرفته شد. برای افزایش استفاده از این پیامرسانها در سه سال گذشته ارائه بسیاری از خدمات ضروری آنلاین مانند ثبتنام در دانشگاه، آموزش در مدارس، خدمات در مراکز بهداشتی، بانکداری، بازنشستگی و... به این پیامرسانها منتقل شده است.
این حمایتهای تشویقی از سمت دولت به پیامرسانهای بومی به بالارفتن تعداد کاربران آنها که مشخصا به اجبار در آن ثبتنام کردهاند کمک شایانی کرده است. طبق آخرین اطلاعاتی که از طریق وزارت ارتباطات دولت سیزدهم که از حامیان اصلی پیامرسانهای بومی بود، منتشر شده حدود ۸۹ میلیون نفر در پیامرسانهای بومی ثبتنام کردهاند. در بین پیامرسانهای مختلفی که در کشور فعالیت میکنند و بارها از سمت دولتهای دوازدهم و سیزدهم حمایتهای مادی از جمله اعطای وام پنج میلیاردی، واگذاری زیرساختهای شبکه و... دریافت کردهاند؛ ایتا، بله و روبیکا از استقبال بیشتری برخوردار بودهاند. تا خرداد سال ۱۴۰۳ براساس اعلام وزارت ارتباطات دولت سیزدهم روبیکا ۴۴.۷ میلیون کاربر داشته و تعداد کاربران ایتا هم به ۳۰.۵ میلیون کاربر رسیده است. همچنین در این بین کاربران پیامرسان بله ۱۳ میلیون گزارش شده است.
امنیت ایتا، بله و روبیکا چطور ارزیابی شده است؟
آزمایشگاه امنیتی صندوق فناوری باز (OTF) در مراحل مختلف و در یک محیط آزمایشگاهی به بررسی وضعیت امنیتی این سه پیامرسان پرداخته و در نهایت اعلام کرده آنها بههیچوجه ایمن نیستند. فاز اول این بررسی در دسامبر ۲۰۲۳ انجام شده است. این فاز شامل تحلیل ایستا (بررسی کد بدون اجرای برنامه) و مهندسی معکوس برای ارزیابی روشهای رمزگذاری و نگرانیهای مرتبط با حریم خصوصی در سطح پلتفرم بوده است. پرسش اصلی در این ارزیابی این بوده که آیا این برنامهها واقعا از
E2EE) End-to-end encryption) یا رمزگذاری سرتاسر برای پیامهای کاربر به کاربر استفاده میکنند؟ و همچنین آیا نگرانیهای امنیتی و حریم خصوصی قابل توجهی برای کاربران وجود دارد؟
در نهایت فاز دوم در اکتبر ۲۰۲۴ به اجرا گذاشته شده است. این فاز شامل تحلیل پویا (بررسی رفتار برنامه در حین اجرا) برای اعتبارسنجی یافتههای فاز اول بود. پرسش اصلی در این فاز این بود که از چه نوع رمزگذاری استفاده میشود؟ و اینکه آیا ارتباطات بین این سه اپلیکیشن امن است؟
پس از انجام این فازها نتایج درباره امنیت این سه پیامرسان منتشر شده است. طبق این بررسی مشخص شده که هیچیک از این پیامرسانها از E2EE برای حفاظت از مکالمات کاربران در برابر سرورهای پشتیبان استفاده نمیکنند. در هر سه اپلیکیشن، زمانی که کاربران روی لینکهایی که در پیامها برایشان ارسال شده کلیک میکردند، به سرور پشتیبان برنامه هدایت میشدند و آدرس اصلی (URL) بهعنوان بخشی از کوئری به سرور ارسال میشد. این فرایند به سرورها اجازه میدهد وبسایتهایی را که کاربران درون برنامه مشاهده میکنند، تحت نظارت قرار دهند.
در ایتا، دادههای کاربر (مثل تاریخچه پیامها) ممکن است توسط مهاجمی با دسترسی فیزیکی به دستگاه، استخراج شود. از سوی دیگر پیامهای پیشنویس در ایتا به سرور ارسال میشوند.
در روبیکا، ترافیک رمزگذارینشده کشف شد. این آسیبپذیری به هرکسی که شبکه را نظارت میکند اجازه میدهد دادههای حساس مانند رمز عبور یا اطلاعات شخصی را در صورت ارسال در قالب متن ساده، رهگیری و مشاهده کند.
در بله، داده موقعیت مکانی کاربر در زمان احراز هویت به سرور ارسال میشود. در این اپلیکیشن از نوعی رمزنگاری استفاده میشود که میتوان آن را به راحتی بازگشایی کرد.
همچنین این ارزیابی نشان میدهد که تنها اپلیکیشنهای ایتا و روبیکا براساس کد منبع یکی از نسخههای تلگرام ساخته شدهاند. این در حالی است که این دو پلتفرم بارها اعلام کردهاند که در داخل کشور و توسط برنامهنویسان ایرانی توسعه داده شدهاند.
یکی دیگر از یافتههای مهم این گزارش این است که طرح متقابل اتصال پیامرسانها که اردیبهشت سال گذشته وزارت ارتباطات دولت سیزدهم از آن رونمایی کرد، از پروتکل امنی برای انتقال پیامهای بین کاربران پیامرسانها استفاده نمیکند. در این گزارش اعلام شده که در طرح اتصال متقابل پیامرسانهای داخلی از پروتکلی به نام MXB استفاده شده که در آن امکان خواندن پیامها وجود دارد. ناامنبودن پروتکل استفادهشده در طرح اتصال متقابل پیامرسانهای داخلی در حالی مطرح میشود که عیسی زارعپور، وزیر ارتباطات پیشین، در مراسم رونمایی از این طرح در جمع خبرنگاران در پاسخ به امنبودن این پروتکل گفت: «پیامرسانهای مختلف از طریق این پروتکل به هم متصل میشوند و این پروتکل هم کاملا امن و استاندارد است و به شیوه End-To-End پیامها در این پروتکل رمزنگاری میشوند». همچنین او تأکید کرده بود که وزارت ارتباطات بهعنوان تنظیمگر این حوزه، پروتکلهای امنیتی در این زمینه را تدوین کرده و برای اجرا در اختیار پیامرسانها گذاشته است. همچنین به گفته او برای بهوجودنیامدن هر نوع مشکلی هم روی اجراشدن این طرح نظارت دارد.
چقدر دادههای این گزارش معتبر است؟
به جز دادههای این گزارش تاکنون بارها امنیت اطلاعات و حریم خصوصی در پیامرسانهای بومی مورد سؤال قرار گرفته است. شک و تردید درباره امنبودن این سرویسها زمانی که خبری از درز اطلاعات از آنها رسانهای شده، پررنگتر هم شده است. برای نمونه مرداد سال ۱۴۰۲ بود که در شبکه اجتماعی ایکس (توییتر سابق) تصویری از مانیتور یکی از کارمندان پیامرسان بله منتشر شد که نشان میداد به محتوای چت خصوصی کاربران دسترسی دارد. در این بین هم با ابراز نگرانی کاربران از امنیتشان در آن زمان، سازمان فناوری اطلاعات پا به میان گذاشت و در اطلاعیهای خواستار توضیحات پیامرسان بله شد. در نهایت هم بله اطلاعیهای داد و گفت هیچ نقض حریم خصوصی صورت نگرفته و اطلاعات کاربرانش در این پیامرسان مانند همیشه امن است.
در همین زمینه بارها امنیت اطلاعات در روبیکا مورد سؤال قرار گرفته است. نسخه اندروید این پلتفرم در مرداد ۱۴۰۰ به دلیل سوءاستفاده از اطلاعات کاربران و ساخت حسابهای جعلی در چندین سرویس از جمله پلیاستور گوگل حذف شد. در گام بعدی هم آبان ۱۴۰۱ سپر محافظ گوگلپلی (Play Protection) به کاربران روبیکا هشدار داد که این برنامه از اطلاعات شخصی آنها سوءاستفاده میکند. اگرچه روبیکا هم در این زمینه سکوت نکرد و از گوگل خواست دلایل فنی درباره این ادعایش را منتشر کند و از طرف دیگر عیسی زارعپور، وزیر ارتباطات دولت سیزدهم، این اقدام گوگل را سیاسی و برای جلوگیری از نصب این برنامه روی گوشی کاربران ایرانی توصیف کرد. با تمام اینها آیا پیامرسانهای بومی واقعا ناامن هستند؟ و چقدر میتوان به دادههای گزارش OTF اتکا کرد.
وحید فرید، کارشناس حوزه فناوری اطلاعات و اینترنت، در گفتوگو با «شرق» اعلام میکند که این گزارش به جز در چندین موارد اطلاعات جدیدی ندارد و در سالهای گذشته بسیاری از کارشناسان نسبت به امنیت پایین این پیامرسانها هشدار داده بودند.
به گفته او اصلیترین نکته درباره این سه پیامرسان که مورد بررسی قرار گرفته این موضوع است که هیچکدام از قابلیت رمزنگاری E2E استفاده نمیکنند، هرچند خود آنها هم در این زمینه ادعایی ندارند و حتی در بخش قوانین و مقررات خود به این موضوع اشاره نکردهاند.
براساس توضیحات او یکی دیگر از عواملی که میتواند دادههای این گزارش را تأیید کند، این بود که مشخص شد که پیام کاربران قابل مانیتور است.
او با اشاره به اطلاعات جدید این گزارش به «شرق» میگوید: «چند نکته جدید در این گزارش وجود داشت، از جمله اینکه تمامی URLها یعنی تمام آدرسهایی که در یک پیام بین دو فرد یا چند فرد رد و بدل میشود در سامانهای که وجود دارد مانیتور شده و بعد ارسال میشود».
او ادامه میدهد: «نکته دیگری که این گزارش روشن میکند این است که به دلیل ناامنبودن شرایط حفظ اطلاعات در این پیامرسانها، اگر گوشی فردی هک شود یا گوشی در اختیار هکری قرار بگیرد، چون پیامها به صورت رمزگذاریشده نگهداری نمیشود، هکر میتواند به اطلاعات روی این پیامرسانها دسترسی داشته باشد. از سوی دیگر در پیامرسانی مانند ایتا اگر کاربری فقط پیام را تایپ و ارسال نکند بازهم این پیام در سرور نگهداری میشود و قابل خواندن است».
به گفته فرید یکی دیگر از نکات جالب این گزارش تأیید بر وابستهبودن این سه پیامرسان به نهادهای دولتی است. فرید اعلام میکند با اینکه تاکنون بارها گفته شده این پیامرسانها از بخش خصوصی نیستند، اما مدیران آنها این گزاره را رد کردهاند.
از سوی دیگر فرید اعلام میکند که این گزارش ادعای سال گذشته عیسیزارعپور، وزیر ارتباطات دولت سیزدهم را هم زیر سؤال برده است که گفته بود در پیادهسازی طرح متقابل پیامرسانهای داخلی از پروتکل امن و End-To-End استفاده شده است. او در این مورد توضیح داد: «ادعای آقای زارعپور در این زمینه همان زمان هم کاملا نادرست بود، چراکه هیچکدام از پیامرسانهای ما از قابلیت End-To-End استفاده نمیکنند که حالا قرار باشد در این طرح نیز پیامهای End-To-End بین پیامرسانها ردوبدل شود».
آیا باید نگران اطلاعات خود باشید؟
بعد از انتشار این گزارش از سوی OTF برخی کارشناسان و صاحبنظران در حوزه امنیت اعلام کردند که باقیماندن این اپها روی گوشی خطرناک است و اگر هم آنها از روی گوشی پاک شوند امکان دسترسی به اطلاعات و رصد گوشی کاربران وجود دارد. این اظهارات باعث نگرانی بسیاری از کاربران شده که به اجبار برای دریافت برخی خدمات دولتی، آنها را روی گوشی خود نصب کردهاند. وحید فرید این نگرانیها را بیمورد میداند و تأکید میکند که با پاککردن این برنامهها از روی گوشی دیگر آنها امکان دسترسی به اطلاعات خصوصی کاربران را ندارند. او در این مورد میگوید: «در همین گزارش به این موضوع اشاره و تأکید شده که این پیامرسانها دسترسی به فضای گوشی شما یا امکان شنود دیگر برنامههای شما را ندارند و غیر از چیزی که کاربران به آن امکان دسترسی میدهند، پیامرسان به برنامه دیگری دسترسی ندارد». او تأکید میکند که وقتی برنامه را از روی گوشی خود پاک میکنید، این برنامه دیگر پاک شده است و در صورتی امکان نگرانی وجود دارد که هنگام نصب این برنامه بدافزاری هم روی گوشی نصب شده باشد که عموما این اتفاق توسط سیستمعامل اندروید تشخیص داده میشود و به کاربر هشدار میدهد.
برای جویاشدن از وضعیت امنیت اطلاعات کاربران در بله، ایتا و روبیکا، «شرق» بارها با مدیران این سه پیامرسان تماس گرفت، اما هیچکدام از آنها به این تماسها پاسخ ندادند. در این بین تنها «بله» به صورت کلی اطلاعات این گزارش را تکذیب و تأیید کرد که اطلاعات کاربران این پیامرسان همیشه در شرایط امن نگهداری میشود. همچنین این پیامرسان برای ارائه پاسخ به سؤالهای ما درخواست زمان بیشتری داشت.
در فضای همیشگی اما و اگر درباره حفظ امنیت و حریم خصوصی کاربران در پیامرسانهای بومی، بهترین پیشنهادی که کارشناسان به افرادی که برای دریافت بعضی خدمات مجبور به نصب و استفاده از پیامرسانها هستند، این است که اطلاعات حساس و مهم خود را بههیچوجه از طریق این پیامرسانها ردوبدل نکنند.