یک گزارش نگرانکننده؛ ایتا، روبیکا و بله ناامن شناخته شدند؟
امنیت اطلاعات و حفظ حریم خصوصی کاربران در پیامرسانهای داخلی مورد شک و تردید کاربران و کارشناسان امنیتی بوده است
امنیت اطلاعات و حفظ حریم خصوصی کاربران در پیامرسانهای بومی یا داخلی از ابتدای شروع کار آنها در کشور مورد شک و تردید کاربران و کارشناسان امنیتی بوده است. تاکنون بارها خبر هک اطلاعات یا حذف پیامرسانهای بومی از اپاستورهای خارجی به دلیل رعایتنکردن پروتکلهای امنیتی شنیده شده و بسیاری از کارشناسان هم با ارائه مستنداتی گفتهاند که این پیامرسانها امن نیستند، هرچند مدیران این پیامرسانها پیوسته تأکید کردهاند که این گفتهها برای تخریب آنها اظهار میشود و گروهی میخواهند جلوی استقبال کاربران از پیامرسانهای بومی را بگیرند.
با این حال جدیدترین نتایج یک گزارش تحقیقاتی روی سه پیامرسانی که بیشتر از همه در ایران با استقبال مواجه هستند یعنی ایتا، روبیکا و بله نشان داده که این سه پیامرسان بههیچوجه ایمن نیستند و امکان رصد کاربران در این پلتفرمها وجود دارد. اما چقدر نتایج این گزارش قابل اعتماد است؟ چطور برخلاف ادعای مدیران این پیامرسانها که از سطح بالای امنیت و رمزنگاری پیامها در این سرویسها خبر میدهند، این گزارش اعلام کرده که هیچ رمزنگاری در این پیامرسانها صورت نمیگیرد؟ آیا راهی برای حفظ امنیت افرادی وجود دارد که مجبور به استفاده از این پیامرسانها در کشور هستند؟
ایجاد محدودیت و دسترسی به کاربران میلیونی
در یک دهه اخیر و بهویژه از زمان شروع محدودیتهای اینترنتی و فیلترینگ گسترده سرویسهای خارجی در دولت گذشته سیاستهای جدی برای استفاده از پیامرسانهای داخلی به کار گرفته شد. برای افزایش استفاده از این پیامرسانها در سه سال گذشته ارائه بسیاری از خدمات ضروری آنلاین مانند ثبتنام در دانشگاه، آموزش در مدارس، خدمات در مراکز بهداشتی، بانکداری، بازنشستگی و... به این پیامرسانها منتقل شده است.
این حمایتهای تشویقی از سمت دولت به پیامرسانهای بومی به بالارفتن تعداد کاربران آنها که مشخصا به اجبار در آن ثبتنام کردهاند کمک شایانی کرده است. طبق آخرین اطلاعاتی که از طریق وزارت ارتباطات دولت سیزدهم که از حامیان اصلی پیامرسانهای بومی بود، منتشر شده حدود ۸۹ میلیون نفر در پیامرسانهای بومی ثبتنام کردهاند. در بین پیامرسانهای مختلفی که در کشور فعالیت میکنند و بارها از سمت دولتهای دوازدهم و سیزدهم حمایتهای مادی از جمله اعطای وام پنج میلیاردی، واگذاری زیرساختهای شبکه و... دریافت کردهاند؛ ایتا، بله و روبیکا از استقبال بیشتری برخوردار بودهاند. تا خرداد سال ۱۴۰۳ براساس اعلام وزارت ارتباطات دولت سیزدهم روبیکا ۴۴.۷ میلیون کاربر داشته و تعداد کاربران ایتا هم به ۳۰.۵ میلیون کاربر رسیده است. همچنین در این بین کاربران پیامرسان بله ۱۳ میلیون گزارش شده است.
امنیت ایتا، بله و روبیکا چطور ارزیابی شده است؟
آزمایشگاه امنیتی صندوق فناوری باز (OTF) در مراحل مختلف و در یک محیط آزمایشگاهی به بررسی وضعیت امنیتی این سه پیامرسان پرداخته و در نهایت اعلام کرده آنها بههیچوجه ایمن نیستند. فاز اول این بررسی در دسامبر ۲۰۲۳ انجام شده است. این فاز شامل تحلیل ایستا (بررسی کد بدون اجرای برنامه) و مهندسی معکوس برای ارزیابی روشهای رمزگذاری و نگرانیهای مرتبط با حریم خصوصی در سطح پلتفرم بوده است. پرسش اصلی در این ارزیابی این بوده که آیا این برنامهها واقعا از E2EE) End-to-end encryption) یا رمزگذاری سرتاسر برای پیامهای کاربر به کاربر استفاده میکنند؟ و همچنین آیا نگرانیهای امنیتی و حریم خصوصی قابل توجهی برای کاربران وجود دارد؟
در نهایت فاز دوم در اکتبر ۲۰۲۴ به اجرا گذاشته شده است. این فاز شامل تحلیل پویا (بررسی رفتار برنامه در حین اجرا) برای اعتبارسنجی یافتههای فاز اول بود. پرسش اصلی در این فاز این بود که از چه نوع رمزگذاری استفاده میشود؟ و اینکه آیا ارتباطات بین این سه اپلیکیشن امن است؟
پس از انجام این فازها نتایج درباره امنیت این سه پیامرسان منتشر شده است. طبق این بررسی مشخص شده که هیچیک از این پیامرسانها از E۲EE برای حفاظت از مکالمات کاربران در برابر سرورهای پشتیبان استفاده نمیکنند. در هر سه اپلیکیشن، زمانی که کاربران روی لینکهایی که در پیامها برایشان ارسال شده کلیک میکردند، به سرور پشتیبان برنامه هدایت میشدند و آدرس اصلی (URL) بهعنوان بخشی از کوئری به سرور ارسال میشد. این فرایند به سرورها اجازه میدهد وبسایتهایی را که کاربران درون برنامه مشاهده میکنند، تحت نظارت قرار دهند.
در ایتا، دادههای کاربر (مثل تاریخچه پیامها) ممکن است توسط مهاجمی با دسترسی فیزیکی به دستگاه، استخراج شود. از سوی دیگر پیامهای پیشنویس در ایتا به سرور ارسال میشوند.
در روبیکا، ترافیک رمزگذارینشده کشف شد. این آسیبپذیری به هرکسی که شبکه را نظارت میکند اجازه میدهد دادههای حساس مانند رمز عبور یا اطلاعات شخصی را در صورت ارسال در قالب متن ساده، رهگیری و مشاهده کند.
در بله، داده موقعیت مکانی کاربر در زمان احراز هویت به سرور ارسال میشود. در این اپلیکیشن از نوعی رمزنگاری استفاده میشود که میتوان آن را به راحتی بازگشایی کرد.
همچنین این ارزیابی نشان میدهد که تنها اپلیکیشنهای ایتا و روبیکا براساس کد منبع یکی از نسخههای تلگرام ساخته شدهاند. این در حالی است که این دو پلتفرم بارها اعلام کردهاند که در داخل کشور و توسط برنامهنویسان ایرانی توسعه داده شدهاند.
یکی دیگر از یافتههای مهم این گزارش این است که طرح متقابل اتصال پیامرسانها که اردیبهشت سال گذشته وزارت ارتباطات دولت سیزدهم از آن رونمایی کرد، از پروتکل امنی برای انتقال پیامهای بین کاربران پیامرسانها استفاده نمیکند. در این گزارش اعلام شده که در طرح اتصال متقابل پیامرسانهای داخلی از پروتکلی به نام MXB استفاده شده که در آن امکان خواندن پیامها وجود دارد.
ناامنبودن پروتکل استفادهشده در طرح اتصال متقابل پیامرسانهای داخلی در حالی مطرح میشود که عیسی زارعپور، وزیر ارتباطات پیشین، در مراسم رونمایی از این طرح در جمع خبرنگاران در پاسخ به امنبودن این پروتکل گفت: «پیامرسانهای مختلف از طریق این پروتکل به هم متصل میشوند و این پروتکل هم کاملا امن و استاندارد است و به شیوه End-To-End پیامها در این پروتکل رمزنگاری میشوند». همچنین او تأکید کرده بود که وزارت ارتباطات بهعنوان تنظیمگر این حوزه، پروتکلهای امنیتی در این زمینه را تدوین کرده و برای اجرا در اختیار پیامرسانها گذاشته است. همچنین به گفته او برای بهوجودنیامدن هر نوع مشکلی هم روی اجراشدن این طرح نظارت دارد.
آیا باید نگران اطلاعات خود باشید؟
بعد از انتشار این گزارش از سوی OTF برخی کارشناسان و صاحبنظران در حوزه امنیت اعلام کردند که باقیماندن این اپها روی گوشی خطرناک است و اگر هم آنها از روی گوشی پاک شوند امکان دسترسی به اطلاعات و رصد گوشی کاربران وجود دارد. این اظهارات باعث نگرانی بسیاری از کاربران شده که به اجبار برای دریافت برخی خدمات دولتی، آنها را روی گوشی خود نصب کردهاند.
وحید فرید، کارشناس حوزه فناوری اطلاعات و اینترنت این نگرانیها را بیمورد میداند و تأکید میکند که با پاککردن این برنامهها از روی گوشی دیگر آنها امکان دسترسی به اطلاعات خصوصی کاربران را ندارند. او در این مورد میگوید: «در همین گزارش به این موضوع اشاره و تأکید شده که این پیامرسانها دسترسی به فضای گوشی شما یا امکان شنود دیگر برنامههای شما را ندارند و غیر از چیزی که کاربران به آن امکان دسترسی میدهند، پیامرسان به برنامه دیگری دسترسی ندارد». او تأکید میکند که وقتی برنامه را از روی گوشی خود پاک میکنید، این برنامه دیگر پاک شده است و در صورتی امکان نگرانی وجود دارد که هنگام نصب این برنامه بدافزاری هم روی گوشی نصب شده باشد که عموما این اتفاق توسط سیستمعامل اندروید تشخیص داده میشود و به کاربر هشدار میدهد.
برای جویاشدن از وضعیت امنیت اطلاعات کاربران در بله، ایتا و روبیکا، «شرق» بارها با مدیران این سه پیامرسان تماس گرفت، اما هیچکدام از آنها به این تماسها پاسخ ندادند. در این بین تنها «بله» به صورت کلی اطلاعات این گزارش را تکذیب و تأیید کرد که اطلاعات کاربران این پیامرسان همیشه در شرایط امن نگهداری میشود. همچنین این پیامرسان برای ارائه پاسخ به سؤالهای ما درخواست زمان بیشتری داشت.
در فضای همیشگی اما و اگر درباره حفظ امنیت و حریم خصوصی کاربران در پیامرسانهای بومی، بهترین پیشنهادی که کارشناسان به افرادی که برای دریافت بعضی خدمات مجبور به نصب و استفاده از پیامرسانها هستند، این است که اطلاعات حساس و مهم خود را بههیچوجه از طریق این پیامرسانها ردوبدل نکنند.