header

دسته بندی :

دانش و فناوری

اشتراک گذاری

1403/10/04

نتیجه یک تحقیق جدید: روبیکا، بله و ایتا امن نیستند

جدیدترین نتایج یک گزارش تحقیقاتی روی سه پیام‌رسانی که بیشتر از همه در ایران با استقبال مواجه هستند یعنی ایتا، روبیکا و بله نشان داده که این سه پیام‌رسان به‌هیچ‌وجه ایمن نیستند و امکان رصد کاربران در این پلتفرم‌ها وجود دارد.

در هر سه اپلیکیشن، زمانی که کاربران روی لینک‌هایی که در پیام‌ها برایشان ارسال شده کلیک می‌کردند، به سرور پشتیبان برنامه هدایت می‌شدند و آدرس اصلی (URL) به‌عنوان بخشی از کوئری به سرور ارسال می‌شد. این فرایند به سرور‌ها اجازه می‌دهد وب‌سایت‌هایی را که کاربران درون برنامه مشاهده می‌کنند، تحت نظارت قرار دهند.

به گزارش شرق، امنیت اطلاعات و حفظ حریم خصوصی کاربران در پیام‌رسان‌های بومی یا داخلی از ابتدای شروع کار آنها در کشور مورد شک و تردید کاربران و کارشناسان امنیتی بوده است. تاکنون بار‌ها خبر هک اطلاعات یا حذف پیام‌رسان‌های بومی از اپ‌استور‌های خارجی به دلیل رعایت‌نکردن پروتکل‌های امنیتی شنیده شده و بسیاری از کارشناسان هم با ارائه مستنداتی گفته‌اند که این پیام‌رسان‌ها امن نیستند، هرچند مدیران این پیام‌رسان‌ها پیوسته تأکید کرده‌اند که این گفته‌ها برای تخریب آنها اظهار می‌شود و گروهی می‌خواهند جلوی استقبال کاربران از پیام‌رسان‌های بومی را بگیرند.

با این حال جدیدترین نتایج یک گزارش تحقیقاتی روی سه پیام‌رسانی که بیشتر از همه در ایران با استقبال مواجه هستند یعنی ایتا، روبیکا و بله نشان داده که این سه پیام‌رسان به‌هیچ‌وجه ایمن نیستند و امکان رصد کاربران در این پلتفرم‌ها وجود دارد. اما چقدر نتایج این گزارش قابل اعتماد است؟ چطور برخلاف ادعای مدیران این پیام‌رسان‌ها که از سطح بالای امنیت و رمزنگاری پیام‌ها در این سرویس‌ها خبر می‌دهند، این گزارش اعلام کرده که هیچ رمز‌نگاری در این پیام‌رسان‌ها صورت نمی‌گیرد؟ آیا راهی برای حفظ امنیت افرادی وجود دارد که مجبور به استفاده از این پیام‌رسان‌ها در کشور هستند؟

ایجاد محدودیت و دسترسی به کاربران میلیونی

در یک دهه اخیر و به‌ویژه از زمان شروع محدودیت‌های اینترنتی و فیلترینگ گسترده سرویس‌های خارجی در دولت گذشته سیاست‌های جدی برای استفاده از پیام‌رسان‌های داخلی به کار گرفته شد. برای افزایش استفاده از این پیام‌رسان‌ها در سه سال گذشته ارائه بسیاری از خدمات ضروری آنلاین مانند ثبت‌نام در دانشگاه، آموزش در مدارس، خدمات در مراکز بهداشتی، بانکداری، بازنشستگی و... به این پیام‌رسان‌ها منتقل شده است.

این حمایت‌های تشویقی از سمت دولت به پیام‌رسان‌های بومی به بالارفتن تعداد کاربران آنها که مشخصا به اجبار در آن ثبت‌نام کرده‌اند کمک شایانی کرده است. طبق آخرین اطلاعاتی که از طریق وزارت ارتباطات دولت سیزدهم که از حامیان اصلی پیام‌رسان‌های بومی بود، منتشر شده حدود 89 میلیون نفر در پیام‌رسان‌های بومی ثبت‌نام کرده‌اند. در بین پیام‌رسان‌های مختلفی که در کشور فعالیت می‌کنند و بار‌ها از سمت دولت‌های دوازدهم و سیزدهم حمایت‌های مادی از جمله اعطای وام پنج میلیاردی، واگذاری زیرساخت‌های شبکه و... دریافت کرده‌اند؛ ایتا، بله و روبیکا از استقبال بیشتری برخوردار بوده‌اند. تا خرداد سال 1403 براساس اعلام وزارت ارتباطات دولت سیزدهم روبیکا 44.7 میلیون کاربر داشته و تعداد کاربران ایتا هم به 30.5 میلیون کاربر رسیده است. همچنین در این بین کاربران پیام‌رسان بله 13 میلیون گزارش شده است.

امنیت ایتا، بله و روبیکا چطور ارزیابی شده است؟

آزمایشگاه امنیتی صندوق فناوری باز (OTF) در مراحل مختلف و در یک محیط آزمایشگاهی به بررسی وضعیت امنیتی این سه پیام‌رسان پرداخته و در نهایت اعلام کرده آنها به‌هیچ‌وجه ایمن نیستند. فاز اول این بررسی در دسامبر 2023 انجام شده است. این فاز شامل تحلیل ایستا (بررسی کد بدون اجرای برنامه) و مهندسی معکوس برای ارزیابی روش‌های رمزگذاری و نگرانی‌های مرتبط با حریم خصوصی در سطح پلتفرم بوده است. پرسش اصلی در این ارزیابی این بوده که آیا این برنامه‌ها واقعا از E2EE) End-to-end encryption) یا رمزگذاری سرتاسر برای پیام‌های کاربر به کاربر استفاده می‌کنند؟ و همچنین آیا نگرانی‌های امنیتی و حریم خصوصی قابل توجهی برای کاربران وجود دارد؟

در نهایت فاز دوم در اکتبر 2024 به اجرا گذاشته شده است. این فاز شامل تحلیل پویا (بررسی رفتار برنامه در حین اجرا) برای اعتبارسنجی یافته‌های فاز اول بود. پرسش اصلی در این فاز این بود که از چه نوع رمزگذاری استفاده می‌شود؟ و اینکه آیا ارتباطات بین این سه اپلیکیشن امن است؟

پس از انجام این فاز‌ها نتایج درباره امنیت این سه پیام‌رسان منتشر شده است. طبق این بررسی مشخص شده که هیچ‌یک از این پیام‌رسان‌ها از E 2 EE برای حفاظت از مکالمات کاربران در برابر سرور‌های پشتیبان استفاده نمی‌کنند. در هر سه اپلیکیشن، زمانی که کاربران روی لینک‌هایی که در پیام‌ها برایشان ارسال شده کلیک می‌کردند، به سرور پشتیبان برنامه هدایت می‌شدند و آدرس اصلی (URL) به‌عنوان بخشی از کوئری به سرور ارسال می‌شد. این فرایند به سرور‌ها اجازه می‌دهد وب‌سایت‌هایی را که کاربران درون برنامه مشاهده می‌کنند، تحت نظارت قرار دهند.

در ایتا، داده‌های کاربر (مثل تاریخچه پیام‌ها) ممکن است توسط مهاجمی با دسترسی فیزیکی به دستگاه، استخراج شود. از سوی دیگر پیام‌های پیش‌نویس در ایتا به سرور ارسال می‌شوند.

در روبیکا، ترافیک رمزگذاری‌نشده کشف شد. این آسیب‌پذیری به هرکسی که شبکه را نظارت می‌کند اجازه می‌دهد داده‌های حساس مانند رمز عبور یا اطلاعات شخصی را در صورت ارسال در قالب متن ساده، رهگیری و مشاهده کند.

در بله، داده موقعیت مکانی کاربر در زمان احراز هویت به سرور ارسال می‌شود. در این اپلیکیشن از نوعی رمزنگاری استفاده می‌شود که می‌توان آن را به راحتی بازگشایی کرد.

همچنین این ارزیابی نشان می‌دهد که تنها اپلیکیشن‌های ایتا و روبیکا براساس کد منبع یکی از نسخه‌های تلگرام ساخته شده‌اند. این در حالی است که این دو پلتفرم بار‌ها اعلام کرده‌اند که در داخل کشور و توسط برنامه‌نویسان ایرانی توسعه داده شده‌اند.

یکی دیگر از یافته‌های مهم این گزارش این است که طرح متقابل اتصال پیام‌رسان‌ها که اردیبهشت سال گذشته وزارت ارتباطات دولت سیزدهم از آن رونمایی کرد، از پروتکل امنی برای انتقال پیام‌های بین کاربران پیام‌رسان‌ها استفاده نمی‌کند. در این گزارش اعلام شده که در طرح اتصال متقابل پیام‌رسان‌های داخلی از پروتکلی به نام MXB استفاده شده که در آن امکان خواندن پیام‌ها وجود دارد.

ناامن‌بودن پروتکل استفاده‌شده در طرح اتصال متقابل پیام‌رسان‌های داخلی در حالی مطرح می‌شود که عیسی زارع‌پور، وزیر ارتباطات پیشین، در مراسم رونمایی از این طرح در جمع خبرنگاران در پاسخ به امن‌بودن این پروتکل گفت: «پیام‌رسان‌های مختلف از طریق این پروتکل به هم متصل می‌شوند و این پروتکل هم کاملا امن و استاندارد است و به شیوه End-To-End پیام‌ها در این پروتکل رمزنگاری می‌شوند». همچنین او تأکید کرده بود که وزارت ارتباطات به‌عنوان تنظیم‌گر این حوزه، پروتکل‌های امنیتی در این زمینه را تدوین کرده و برای اجرا در اختیار پیام‌رسان‌ها گذاشته است. همچنین به گفته او برای به‌وجودنیامدن هر نوع مشکلی هم روی اجراشدن این طرح نظارت دارد.

آیا باید نگران اطلاعات خود باشید؟

بعد از انتشار این گزارش از سوی OTF برخی کارشناسان و صاحب‌نظران در حوزه امنیت اعلام کردند که باقی‌ماندن این اپ‌ها روی گوشی خطرناک است و اگر هم آنها از روی گوشی پاک شوند امکان دسترسی به اطلاعات و رصد گوشی کاربران وجود دارد. این اظهارات باعث نگرانی بسیاری از کاربران شده که به اجبار برای دریافت برخی خدمات دولتی، آنها را روی گوشی خود نصب کرده‌اند.

وحید فرید، کارشناس حوزه فناوری اطلاعات و اینترنت این نگرانی‌ها را بی‌مورد می‌داند و تأکید می‌کند که با پاک‌کردن این برنامه‌ها از روی گوشی دیگر آنها امکان دسترسی به اطلاعات خصوصی کاربران را ندارند. او در این مورد می‌گوید: «در همین گزارش به این موضوع اشاره و تأکید شده که این پیام‌رسان‌ها دسترسی به فضای گوشی شما یا امکان شنود دیگر برنامه‌های شما را ندارند و غیر از چیزی که کاربران به آن امکان دسترسی می‌دهند، پیام‌رسان به برنامه دیگری دسترسی ندارد». او تأکید می‌کند که وقتی برنامه را از روی گوشی خود پاک می‌کنید، این برنامه دیگر پاک شده است و در صورتی امکان نگرانی وجود دارد که هنگام نصب این برنامه بدافزاری هم روی گوشی نصب شده باشد که عموما این اتفاق توسط سیستم‌عامل اندروید تشخیص داده می‌شود و به کاربر هشدار می‌دهد.

برای جویاشدن از وضعیت امنیت اطلاعات کاربران در بله، ایتا و روبیکا،این روزنامه بار‌ها با مدیران این سه پیام‌رسان تماس گرفت، اما هیچ‌کدام از آنها به این تماس‌ها پاسخ ندادند. در این بین تنها «بله» به صورت کلی اطلاعات این گزارش را تکذیب و تأیید کرد که اطلاعات کاربران این پیام‌رسان همیشه در شرایط امن نگهداری می‌شود. همچنین این پیام‌رسان برای ارائه پاسخ به سؤال‌های ما درخواست زمان بیشتری داشت.

در فضای همیشگی، اما و اگر درباره حفظ امنیت و حریم خصوصی کاربران در پیام‌رسان‌های بومی، بهترین پیشنهادی که کارشناسان به افرادی که برای دریافت بعضی خدمات مجبور به نصب و استفاده از پیام‌رسان‌ها هستند، این است که اطلاعات حساس و مهم خود را به‌هیچ‌وجه از طریق این پیام‌رسان‌ها ردوبدل نکنند.

آدرس کوتاه شده صفحه

اشتراک گذاری

shareItem1shareItem2shareItem3shareItem4shareItem5

ارسال نظر

captcha
ارسال نظر