آزمایشگاه امنیتی صندوق فناوری باز (OTF) دریافت که سه اپلیکیشن پیام‌رسان ایرانی ایمن نیستند

ایران به طور مداوم در گزارش‌های سالانه «آزادی در شبکه» خانه آزادی در دسته «غیر آزاد» قرار می‌گیرد. این کشور در گزارش سال ۲۰۲۴ نمره بسیار پایین ۱۲ (در مقیاس ۱ تا ۱۰۰، که ۱۰۰ نشان‌دهنده بیشترین آزادی است) را کسب کرده است، در حالی که سانسور و نظارت گسترده‌ای در کشور اعمال می‌شود. برای محدود کردن دسترسی به اینترنت جهانی آزاد و کنترل شدید فضای مجازی داخلی، دولت ایران بسیاری از اپلیکیشن‌های خارجی یا مستقل را مسدود کرده و مردم را به استفاده از اپلیکیشن‌های داخلی مورد تأیید دولت تشویق می‌کند. به منظور افزایش استفاده از این اپلیکیشن‌ها، مقامات در حال انتقال خدمات عمومی ضروری آنلاین (مثل بانکداری، آموزش و صندوق‌های بازنشستگی) به این پلتفرم‌های داخلی هستند (که اغلب با بودجه دولتی تأمین می‌شوند)، قابلیت تعامل‌پذیری بین اپلیکیشن‌های پیام‌رسان ایرانی را فراهم کرده‌اند و هزینه پهنای باند اینترنت داخلی را کاهش می‌دهند، در حالی که پهنای باند بین‌المللی را محدود می‌کنند.

به گفته دولت ایران، حدود ۸۹ میلیون نفر برای استفاده از اپلیکیشن‌های پیام‌رسان ایرانی ثبت‌نام کرده‌اند و اپلیکیشن‌های ایتا، روبیکا و بله به‌خصوص در حال افزایش محبوبیت هستند. هر سه اپلیکیشن با یکدیگر قابل تعامل هستند و ادعا می‌کنند از رمزگذاری سرتاسر (E2EE) استفاده می‌کنند – به این معنی که تنها فرستنده و گیرنده قادر به خواندن پیام‌ها هستند. در این نوع رمزگذاری، هیچ شخص ثالثی (از جمله سرور اپلیکیشن) نمی‌تواند داده‌ها را بخواند یا تغییر دهد. اما آیا این اپلیکیشن‌ها واقعا از E2EE استفاده می‌کنند؟ و آیا آسیب‌پذیری‌های دیگری در حریم خصوصی و امنیت وجود دارد که کاربران باید از آن آگاه باشند؟

آزمایشگاه امنیتی صندوق فناوری باز در دسامبر ۲۰۲۳ و اکتبر ۲۰۲۴ ارزیابی این اپلیکیشن‌ها را انجام داد تا به این پرسش‌ها پاسخ دهد. تأیید شد که هیچ‌یک از این سه اپلیکیشن از رمزگذاری سرتاسر استفاده نمی‌کنند. همچنین مشخص شد که سرورهای پشتیبانی هر سه اپلیکیشن، وب‌سایت‌هایی را که کاربران بازدید می‌کنند، رصد می‌کنند که این کار، سازوکاری برای سانسور و نظارت است. چندین آسیب‌پذیری دیگر در زمینه حریم خصوصی و امنیت نیز در این اپلیکیشن‌ها کشف شد. برخلاف بسیاری از گزارش‌های ارزیابی امنیتی OTF، به دلیل حساسیت این بررسی، ارزیابان خواستار ناشناس ماندن شدند.

درباره اپلیکیشن‌های پیام‌رسان ایتا، روبیکا و بله

«ایتا» در مرکز رشد دانشگاه قم، که نهادی با ارتباط نزدیک با نظام سیاسی ایران است، توسعه یافته است. به گفته زراع‌پور، وزیر سابق ارتباطات ایران، تعداد کاربران این اپلیکیشن از ۳ میلیون نفر در اواخر سپتامبر ۲۰۲۳ به ۱۹ میلیون نفر در اواخر دسامبر ۲۰۲۳ رسید. در نظرسنجی انجام‌شده توسط گروه میان در سال ۲۰۲۳، بسیاری از پاسخ‌دهندگان اظهار داشتند که مجبور به استفاده از ایتا و سایر اپلیکیشن‌های داخلی برای اهداف آموزشی هستند.

«روبیکا» محصول شرکت همراه اول (MCI)، یکی از اپراتورهای اصلی خدمات مخابراتی ایران است که تحت مالکیت اکثریتی شرکت مخابرات ایران قرار دارد. قابلیت‌های این اپلیکیشن شامل خدمات بانکداری و نسخه داخلی اینستاگرام است. در ماه مه ۲۰۲۳، زارع‌پور، وزیر سابق ارتباطات و فناوری اطلاعات ایران اعلام کرد که روبیکا حدود ۴۰ میلیون کاربر فعال ماهانه دارد.

«بله» قابلیت‌های بانکداری را ارائه می‌کند و بسیاری از کاربران مجبور به استفاده از این اپلیکیشن برای دسترسی به خدمات دولت الکترونیکی هستند. گفته می‌شود که این اپلیکیشن توسط شرکت داده‌پردازی سداد، که از سرمایه‌گذاری بانک ملی ایران بهره می‌برد، توسعه یافته است. بر اساس اظهارات وزیر سابق ارتباطات، بله در ماه مه ۲۰۲۳ حدود ۱۶.۵ میلیون کاربر فعال ماهانه داشته است.

شرح ارزیابی

ارزیابان این پروژه یک ارزیابی چندمرحله‌ای انجام دادند. مرحله اول در دسامبر ۲۰۲۳ شامل تحلیل ایستا (بررسی کد بدون اجرای برنامه) و مهندسی معکوس برای ارزیابی روش‌های رمزگذاری و بررسی نگرانی‌های مربوط به حریم خصوصی در سطح پلتفرم بود. پرسش‌های کلیدی در این مرحله:

• آیا این اپلیکیشن‌ها از رمزگذاری سرتاسر برای پیام‌رسانی کاربر به کاربر استفاده می‌کنند، همان‌طور که ادعا می‌شود؟
• آیا نگرانی‌های قابل‌توجهی در زمینه امنیت و حریم خصوصی برای کاربران وجود دارد؟

مرحله دوم در اکتبر ۲۰۲۴ شامل تحلیل پویا (بررسی رفتار برنامه در زمان اجرا برای درک عملکرد واقعی آن) برای اعتبارسنجی یافته‌های مرحله اول بود. در این مرحله، خطرات امنیتی از جمله خطراتی که متوجه افرادی بود که شماره تلفن آن‌ها برای اجرای این اپلیکیشن‌ها استفاده شده بود، درنظر گرفته شد.  پرسش‌های کلیدی در این مرحله:

• رمزنگاری: چه نوع رمزنگاری‌هایی به‌طور کلی در این برنامه‌ها استفاده شده است؟
• قابلیت تعامل‌پذیری: آیا ارتباطات میان این برنامه‌ها امن است؟ چه نوع رمزنگاری‌ای برای فراهم کردن این تعامل‌پذیری استفاده شده است
• انتقال غیرمنتظره اطلاعات خصوصی: آیا این برنامه‌ها به شکلی غیرمنتظره حسگرهایی را فعال می‌کنند (مانند میکروفون کاربر) یا اطلاعاتی از کاربران (مانند مکان آن‌ها) ارسال می‌کنند؟
• تغییرات نسبت به تلگرام: دو مورد از این برنامه‌ها به شدت بر کد تلگرام متکی هستند. این برنامه‌ها تا چه حد با نسخه رسمی تلگرام شباهت دارند و چه تغییرات مهمی، در صورت وجود، در آن‌ها اعمال شده است؟
• استفاده از هوش مصنوعی (AI): مستندات عمومی روبیکا ادعا می‌کند که از هوش مصنوعی برای تحلیل تصاویر استفاده می‌کند (مانند شناسایی زنانی که حجاب ندارند). آیا شواهدی وجود دارد که این فرآیند روی دستگاه‌های کاربران انجام شود؟
• بررسی امنیتی: آیا این برنامه‌ها ضعف‌های طراحی یا اجرایی دارند که ممکن است توسط هکرهای اپلیکیشن‌های موبایل مورد سوءاستفاده قرار بگیرد؟

نسخه‌های بررسی‌شده:

• ایتا (v6.4.2, SHA256:943d25d2cb842ee91e404922c9eeb7433158ba14ee5da821de3870cd92676731)
• روبیکا (v3.7.5, SHA256:9f4ca46bbcec994063376f18cc3c3f7adcdf7c41fd5de9eabaafc4c050d4da6d)
• بله (v9.41.5, SHA256:9bb94f028bb34e97123b26ca7baefd10c7191fa61b3c6ecbd1f4928a75bc3f8f)

یافته‌های کلیدی

• رمزگذاری: هیچ‌یک از اپلیکیشن‌ها از E2EE برای حفاظت از مکالمات کاربران در برابر سرورهای پشتیبان استفاده نمی‌کنند.
• تعامل‌پذیری ناامن: پیام‌ها از طریق سرورهای دولتی MXB رد و بدل می‌شوند که امکان خواندن پیام‌ها را دارند.
• انتقال غیرمنتظره داده‌ها:
  • پیام‌های پیش‌نویس در ایتا به سرور ارسال می‌شوند.
  • در هر سه اپلیکیشن، زمانی که کاربران روی لینک‌هایی که در پیام‌ها برایشان ارسال شده بود کلیک می‌کردند، به سرور پشتیبان برنامه هدایت می‌شدند و آدرس اصلی (URL) به‌عنوان بخشی از کوئری به سرور ارسال می‌شد. این فرآیند عملاً به سرورها اجازه می‌دهد که وب‌سایت‌هایی را که کاربران درون برنامه مشاهده می‌کنند، تحت نظارت قرار دهند.
  • موردی از ارسال غیرمنتظره داده‌های مبتنی بر حسگرها مانند فعال شدن غیرمنتظره میکروفون یا دوربین کاربر پیدا نشد.
• تغییرات نسبت به تلگرام: تنها اپلیکیشن‌های ایتا و روبیکا براساس کد منبع تلگرام ساخته شده‌اند. چت‌های مخفی در ایتا حذف شده است. براساس یافته‌های گزارش، اگرچه برای بخش پیام‌رسانی این اپلیکیشن از کدهای تلگرام استفاده شده است، اما برخی امکانات کلیدی مانند چت امن در پیاده‌سازی این اپلیکیشن انجام نشده است.
• هوش مصنوعی: مدرکی از استفاده از هوش مصنوعی برای تحلیل پیام‌ها یافت نشد.
• بررسی امنیتی:
  • در ایتا، داده‌های کاربر (مثل تاریخچه پیام‌ها) ممکن است توسط مهاجمی با دسترسی فیزیکی به دستگاه، استخراج شود.
  • در روبیکا، ترافیک رمزگذاری‌نشده کشف شد. این آسیب‌پذیری به هر کسی که شبکه را نظارت می‌کند اجازه می‌دهد داده‌‌های حساس مانند رمز عبور یا اطلاعات شخصی را در صورت ارسال در قالب متن ساده، رهگیری و مشاهده کند.
  • در بله، داده موقعیت مکانی کاربر در زمان احراز هویت به سرور ارسال می‌شود. در این اپلیکیشن از نوعی رمزنگاری استفاده می‌شود که می‌توان آن را به راحتی بازگشایی کرد به ویژه برای رمزگذاری داده‌های کارت اعتباری کاربر.

نتیجه‌گیری

این ارزیابی نشان‌دهنده نیاز به انجام تحلیل‌های بیشتر در مورد اپلیکیشن‌های تحت حمایت دولت در شرایطی است که سانسور و نظارت سرکوبگرانه رایج است، به‌ویژه در حالی که دولت‌های اقتدارگرا به‌طور فزاینده‌ای شهروندان را تحت فشار قرار می‌دهند تا برای دسترسی به خدمات عمومی از فناوری‌های داخلی استفاده کنند.

اپلیکیشن‌های پیام‌رسانی که در ادامه پیشنهاد شده‌اند، رمزگذاری بهتری نسبت به ایتا، روبیکا و بله ارائه می‌دهند. اگرچه این اپلیکیشن‌ها مانند پیام‌رسان‌های ایرانی، دسترسی به خدمات دولتی ایران را برای کاربران فراهم نمی‌کنند، اما حریم خصوصی و امنیت بسیار بیشتری برای ارتباطات ارائه می‌دهند. سیگنال، سشن و وایر از رمزگذاری سرتاسر (E2EE) استفاده می‌کنند.

• NewNode
• Signal (using their anti-censorship proxy service)
• Session
• Wire
• Delta Chat

لینک به گزارش کامل:

• فاز اول
• فاز دوم