انتشار یک گزارش نگرانکننده؛ ایتا، روبیکا و بله ناامن شناخته شدند؟
امنیت اطلاعات و حفظ حریم خصوصی کاربران در پیامرسانهای بومی یا داخلی از ابتدای شروع کار آنها در کشور مورد شک و تردید کاربران و کارشناسان امنیتی بوده است.
روزنامه شرق: امنیت اطلاعات و حفظ حریم خصوصی کاربران در پیامرسانهای بومی یا داخلی از ابتدای شروع کار آنها در کشور مورد شک و تردید کاربران و کارشناسان امنیتی بوده است. تاکنون بارها خبر هک اطلاعات یا حذف پیامرسانهای بومی از اپاستورهای خارجی به دلیل رعایتنکردن پروتکلهای امنیتی شنیده شده و بسیاری از کارشناسان هم با ارائه مستنداتی گفتهاند که این پیامرسانها امن نیستند، هرچند مدیران این پیامرسانها پیوسته تأکید کردهاند که این گفتهها برای تخریب آنها اظهار میشود و گروهی میخواهند جلوی استقبال کاربران از پیامرسانهای بومی را بگیرند.
با این حال جدیدترین نتایج یک گزارش تحقیقاتی روی سه پیامرسانی که بیشتر از همه در ایران با استقبال مواجه هستند یعنی ایتا، روبیکا و بله نشان داده که این سه پیامرسان بههیچوجه ایمن نیستند و امکان رصد کاربران در این پلتفرمها وجود دارد. اما چقدر نتایج این گزارش قابل اعتماد است؟ چطور برخلاف ادعای مدیران این پیامرسانها که از سطح بالای امنیت و رمزنگاری پیامها در این سرویسها خبر میدهند، این گزارش اعلام کرده که هیچ رمزنگاری در این پیامرسانها صورت نمیگیرد؟ آیا راهی برای حفظ امنیت افرادی وجود دارد که مجبور به استفاده از این پیامرسانها در کشور هستند؟
ایجاد محدودیت و دسترسی به کاربران میلیونی
در یک دهه اخیر و بهویژه از زمان شروع محدودیتهای اینترنتی و فیلترینگ گسترده سرویسهای خارجی در دولت گذشته سیاستهای جدی برای استفاده از پیامرسانهای داخلی به کار گرفته شد. برای افزایش استفاده از این پیامرسانها در سه سال گذشته ارائه بسیاری از خدمات ضروری آنلاین مانند ثبتنام در دانشگاه، آموزش در مدارس، خدمات در مراکز بهداشتی، بانکداری، بازنشستگی و... به این پیامرسانها منتقل شده است.
این حمایتهای تشویقی از سمت دولت به پیامرسانهای بومی به بالارفتن تعداد کاربران آنها که مشخصا به اجبار در آن ثبتنام کردهاند کمک شایانی کرده است. طبق آخرین اطلاعاتی که از طریق وزارت ارتباطات دولت سیزدهم که از حامیان اصلی پیامرسانهای بومی بود، منتشر شده حدود ۸۹ میلیون نفر در پیامرسانهای بومی ثبتنام کردهاند. در بین پیامرسانهای مختلفی که در کشور فعالیت میکنند و بارها از سمت دولتهای دوازدهم و سیزدهم حمایتهای مادی از جمله اعطای وام پنج میلیاردی، واگذاری زیرساختهای شبکه و... دریافت کردهاند؛ ایتا، بله و روبیکا از استقبال بیشتری برخوردار بودهاند. تا خرداد سال ۱۴۰۳ براساس اعلام وزارت ارتباطات دولت سیزدهم روبیکا ۴۴.۷ میلیون کاربر داشته و تعداد کاربران ایتا هم به ۳۰.۵ میلیون کاربر رسیده است. همچنین در این بین کاربران پیامرسان بله ۱۳ میلیون گزارش شده است.
امنیت ایتا، بله و روبیکا چطور ارزیابی شده است؟
آزمایشگاه امنیتی صندوق فناوری باز (OTF) در مراحل مختلف و در یک محیط آزمایشگاهی به بررسی وضعیت امنیتی این سه پیامرسان پرداخته و در نهایت اعلام کرده آنها بههیچوجه ایمن نیستند. فاز اول این بررسی در دسامبر ۲۰۲۳ انجام شده است. این فاز شامل تحلیل ایستا (بررسی کد بدون اجرای برنامه) و مهندسی معکوس برای ارزیابی روشهای رمزگذاری و نگرانیهای مرتبط با حریم خصوصی در سطح پلتفرم بوده است. پرسش اصلی در این ارزیابی این بوده که آیا این برنامهها واقعا از E2EE) End-to-end encryption) یا رمزگذاری سرتاسر برای پیامهای کاربر به کاربر استفاده میکنند؟ و همچنین آیا نگرانیهای امنیتی و حریم خصوصی قابل توجهی برای کاربران وجود دارد؟
در نهایت فاز دوم در اکتبر ۲۰۲۴ به اجرا گذاشته شده است. این فاز شامل تحلیل پویا (بررسی رفتار برنامه در حین اجرا) برای اعتبارسنجی یافتههای فاز اول بود. پرسش اصلی در این فاز این بود که از چه نوع رمزگذاری استفاده میشود؟ و اینکه آیا ارتباطات بین این سه اپلیکیشن امن است؟
پس از انجام این فازها نتایج درباره امنیت این سه پیامرسان منتشر شده است. طبق این بررسی مشخص شده که هیچیک از این پیامرسانها از E۲EE برای حفاظت از مکالمات کاربران در برابر سرورهای پشتیبان استفاده نمیکنند. در هر سه اپلیکیشن، زمانی که کاربران روی لینکهایی که در پیامها برایشان ارسال شده کلیک میکردند، به سرور پشتیبان برنامه هدایت میشدند و آدرس اصلی (URL) بهعنوان بخشی از کوئری به سرور ارسال میشد. این فرایند به سرورها اجازه میدهد وبسایتهایی را که کاربران درون برنامه مشاهده میکنند، تحت نظارت قرار دهند.
در ایتا، دادههای کاربر (مثل تاریخچه پیامها) ممکن است توسط مهاجمی با دسترسی فیزیکی به دستگاه، استخراج شود. از سوی دیگر پیامهای پیشنویس در ایتا به سرور ارسال میشوند.
در روبیکا، ترافیک رمزگذارینشده کشف شد. این آسیبپذیری به هرکسی که شبکه را نظارت میکند اجازه میدهد دادههای حساس مانند رمز عبور یا اطلاعات شخصی را در صورت ارسال در قالب متن ساده، رهگیری و مشاهده کند.
در بله، داده موقعیت مکانی کاربر در زمان احراز هویت به سرور ارسال میشود. در این اپلیکیشن از نوعی رمزنگاری استفاده میشود که میتوان آن را به راحتی بازگشایی کرد.
همچنین این ارزیابی نشان میدهد که تنها اپلیکیشنهای ایتا و روبیکا براساس کد منبع یکی از نسخههای تلگرام ساخته شدهاند. این در حالی است که این دو پلتفرم بارها اعلام کردهاند که در داخل کشور و توسط برنامهنویسان ایرانی توسعه داده شدهاند.
یکی دیگر از یافتههای مهم این گزارش این است که طرح متقابل اتصال پیامرسانها که اردیبهشت سال گذشته وزارت ارتباطات دولت سیزدهم از آن رونمایی کرد، از پروتکل امنی برای انتقال پیامهای بین کاربران پیامرسانها استفاده نمیکند. در این گزارش اعلام شده که در طرح اتصال متقابل پیامرسانهای داخلی از پروتکلی به نام MXB استفاده شده که در آن امکان خواندن پیامها وجود دارد.
ناامنبودن پروتکل استفادهشده در طرح اتصال متقابل پیامرسانهای داخلی در حالی مطرح میشود که عیسی زارعپور، وزیر ارتباطات پیشین، در مراسم رونمایی از این طرح در جمع خبرنگاران در پاسخ به امنبودن این پروتکل گفت: «پیامرسانهای مختلف از طریق این پروتکل به هم متصل میشوند و این پروتکل هم کاملا امن و استاندارد است و به شیوه End-To-End پیامها در این پروتکل رمزنگاری میشوند». همچنین او تأکید کرده بود که وزارت ارتباطات بهعنوان تنظیمگر این حوزه، پروتکلهای امنیتی در این زمینه را تدوین کرده و برای اجرا در اختیار پیامرسانها گذاشته است. همچنین به گفته او برای بهوجودنیامدن هر نوع مشکلی هم روی اجراشدن این طرح نظارت دارد.
آیا باید نگران اطلاعات خود باشید؟
بعد از انتشار این گزارش از سوی OTF برخی کارشناسان و صاحبنظران در حوزه امنیت اعلام کردند که باقیماندن این اپها روی گوشی خطرناک است و اگر هم آنها از روی گوشی پاک شوند امکان دسترسی به اطلاعات و رصد گوشی کاربران وجود دارد. این اظهارات باعث نگرانی بسیاری از کاربران شده که به اجبار برای دریافت برخی خدمات دولتی، آنها را روی گوشی خود نصب کردهاند.
وحید فرید، کارشناس حوزه فناوری اطلاعات و اینترنت این نگرانیها را بیمورد میداند و تأکید میکند که با پاککردن این برنامهها از روی گوشی دیگر آنها امکان دسترسی به اطلاعات خصوصی کاربران را ندارند. او در این مورد میگوید: «در همین گزارش به این موضوع اشاره و تأکید شده که این پیامرسانها دسترسی به فضای گوشی شما یا امکان شنود دیگر برنامههای شما را ندارند و غیر از چیزی که کاربران به آن امکان دسترسی میدهند، پیامرسان به برنامه دیگری دسترسی ندارد». او تأکید میکند که وقتی برنامه را از روی گوشی خود پاک میکنید، این برنامه دیگر پاک شده است و در صورتی امکان نگرانی وجود دارد که هنگام نصب این برنامه بدافزاری هم روی گوشی نصب شده باشد که عموما این اتفاق توسط سیستمعامل اندروید تشخیص داده میشود و به کاربر هشدار میدهد.
برای جویاشدن از وضعیت امنیت اطلاعات کاربران در بله، ایتا و روبیکا، «شرق» بارها با مدیران این سه پیامرسان تماس گرفت، اما هیچکدام از آنها به این تماسها پاسخ ندادند. در این بین تنها «بله» به صورت کلی اطلاعات این گزارش را تکذیب و تأیید کرد که اطلاعات کاربران این پیامرسان همیشه در شرایط امن نگهداری میشود. همچنین این پیامرسان برای ارائه پاسخ به سؤالهای ما درخواست زمان بیشتری داشت.
در فضای همیشگی اما و اگر درباره حفظ امنیت و حریم خصوصی کاربران در پیامرسانهای بومی، بهترین پیشنهادی که کارشناسان به افرادی که برای دریافت بعضی خدمات مجبور به نصب و استفاده از پیامرسانها هستند، این است که اطلاعات حساس و مهم خود را بههیچوجه از طریق این پیامرسانها ردوبدل نکنند.
نظر کاربران
باز شلوغ کاری واولش همه جور خبر غلط را گذاشتن واخرش اینکه نه اینقدر هم که ما گفتیم نبود ستون پنجم گوگل که همه هست ونیست مارو داره واتساپ که علنی اطلاعات میفروشه. چرا جو بد میدی تو مملکت وطن فروشها. فیلتر خوب نیست اما این کار شما صددرصد بدتر است
هیچ نرم افزار داخلی بهیچ وجه قابل اعتماد نیست حتی نرم افزارهای بانکی .
شخصی ایتا، رو بیکا و بله رو بعنوان جاسوس افزار می شناسم و به اطرافیان هم همیشه توصیه کردم این نرم افزار ها رو گوشیهاشون نصب نکنن.
نرم افزارهای قابل اعتماد رو فقط باید از "گوگل پلی ، پلی استور "برای اندروید دریافت کرد.
خود ارزشیها هم از این آشغالها استفاده نمی کنند!خخ
پاسخ ها
من واتساب کلا حذف کرذم و فقط ایتا دارم
قطعا امن نیستن
من به خاطر مدرسهپسرم نبود هرگز بله نصب نمیکردم از رو اجبار نصب کردم
پاسخ ها
واسه کسایی که محیط غیر اخلاقی میخان امن نیست وگرنه مردم عادی میخان چکار کنن
من از اول هم به اینها شک داشتم. هیچکدام رو نصب نکردم.
باتلگرام واینستاگرام،توافق کنید.
از روز اول روبیکا غیره مطمئنن بود همه گفتن قابل برداشتن خوب نروند ملت
امنیت در روبیکا بله بقیه صفراست
شکستی دیگر برای ایران
حتی تمام اپ های بانکی و همراه بانک ها رو وقتی نصب میکنید ، گوگل اخطار آلوده بودن میده ، چه برسه به این اپ ها
سروش مسخره رو هم به این سه تا اضافه کنید .
هر روز اطلاعات.گوشی مون رو زیر و رو.می کنن
از روز اول ناامن بودند
مردم فقط از روی اجبار این آشغالا رو نصب کردن که کارشون راه بیفتد وگر نه کی برای سرگرمی و گذراندن اوقات فراغت میاد تو مثلاً روبیکا یه چرخی بزند؟!!!
چشم منتظر نظرشما بودن!
بخدا الکی جبهه گرفتین , اخه اطلاعات فوق محرمانه ماها که شامل چنتا جوک و احوال پرسیو ... ایناست به چه درد اینا میخوره ، مگر تو موصاد یا سی ای ای کار میکنید ، والا