7 ژانویه 2025

ذات پیام‌رسان داخلی: بررسی امنیتی پیام‌رسان‌های ایتا، بله و روبیکا

گزارش او‌تی‌اف درباره استفاده از پیام‌رسان‌های داخلی ایتا، بله و روبیکا

پیام‌رسان‌های داخلی در ایران که تحت نظارت و کنترل دولت فعالیت می‌کنند، در سال‌های اخیر به‌عنوان جایگزین پیام‌رسان‌های خارجی معرفی شده‌اند. این پیام‌رسان‌ها عمدتاً با هدف کاهش وابستگی به سرویس‌های خارجی و کنترل بیشتر بر جریان اطلاعات توسعه یافته‌اند.

گزارش «صندوق فناوری باز» که در آذرماه ۱۴۰۳ منتشر شد ضمن بررسی سه اپلیکشن اصلی ایتا، روبیکا و بله، به موارد نقض حریم خصوصی  و امنیت کاربران در ایران به دلیل استفاده از این پیام‌رسان‌ها پرداخته است.

در دهمین قسمت از فصل دوم پادکست لایه هفتم با بررسی گزارش صندوق فناوری که در آذر ماه ۱۴۰۳ منتشر شد ضمن بررسی نقش این اپلیکشن‌ها در تهدید امنیت کاربران به راه‌ها مقابله با این تهدیدها پرداخته‌ایم.

****

آزمایشگاه امنیتی صندوق فناوری باز که تحت حمایت دولت آمریکا فعالیت می‌کند در یک بازه زمانی ده ماهه از  دسامبر ۲۰۲۳ تا  اکتبر  ۲۰۲۴ در ارزیابی  عملکرد  سه اپلیکشن  پیام‌رسان ایتا، روبیکا و بله اعلام کرد که این اپلیشکن‌ها با نقض حریم خصوصی کاربران، امنیت آن‌ها را تهدید می‌کنند و سرورهای حکومتی پشتیبان آن‌ها، کاربران را تحت نظر دارند.

گزارش صندوق فناوری باز تاکید می‌کند که هیچ‌یک از این سه اپلیکیشن از رمزگذاری «سرتاسر» استفاده نمی‌کنند. همچنین مشخص شد که سرورهای پشتیبانی هر سه اپلیکیشن، وب‌سایت‌هایی که کاربران به آن‌ها مراجعه می‌کنند را رصد می‌کنند که این کار، سازوکاری برای سانسور و نظارت است.

هرچند رفع فیلترینگ اپلیکشن‌هایی چون واتس‌آپ و گوگل پلی از سوی دولت مسعود پزشکیان به عنوان قدمی مثبت برای رفع فیلترینگ کامل عنوان شده است اما طرح جدید شورای عالی مجازی در سندی ۳۲ بندی فعالان حوزه حقوق دیجیتال را نسبت به طبقاتی شدن اینترنت و محدودیت بیشتر فضای مجازی و دسترسی آزاد به اطلاعات نگران کرده است.

غلامحسین محسنی‌اژه‌ای، رییس قوه قضاییه جمهوری اسلامی، روز پنجم دی ماه ۱۴۰۳  در گفتگو با رسانه‌ها خبر داد:«  تصمیمی در ۳۲ بند در جلسه شورای عالی فضای‌مجازی گرفته شد که بخشی از آن مرتبط با رفع فیلتر تعدادی از سکوها بود. اما عمده بندهای این تصمیم، به تقویت زیرساخت‌ها و شبکه‌های بومی اختصاص دارد که منتشر می‌شود

این سخنان نشان می‌دهد که عزم جمهوری اسلامی برای کنترل هر چه بیشتر بر فضای اینترنت و قطع دسترسی به اپلیکشن‌های خارجی با سیاست بومی سازی شبکه، عزمی جدی است.

داستان ظهور  اپلیکشن‌های داخلی در ایران 

دولت ایران بارها اعلام کرد که ذخیره‌سازی اطلاعات کاربران در خارج از کشور تهدیدی برای امنیت ملی است. این ادعا زمانی شدت گرفت که پس از  تاثیر مشهود  اپلیکشن تلگرام در اعتراضات ۱۳۹۶ ، این پیام‌رسان از انتقال سرورهای خود به ایران خودداری کرد. این در حالی است که یکی از اهداف اصلی فیلترینگ تلگرام، تشویق کاربران به استفاده از پیام‌رسان‌های داخلی اعلام شد و دولت سعی کرد با ارائه پیام‌رسان‌های بومی مانند سروش و ایتا، جایگزینی برای تلگرام فراهم کند.

با این حال با وجود تبلیغات گسترده و حمایت‌های دولتی، پیام‌رسان‌های داخلی نتوانستند اعتماد گسترده کاربران را جلب کنند، زیرا این نگرانی جدی وجود داشت که حریم خصوصی کاربران با استفاده از این پیام‌رسان‌ها نقض شود. 

توسعه این اپلیکیشن‌ها به بهانه تقویت «اقتصاد دیجیتال ملی» و کاهش وابستگی به پلتفرم‌های خارجی انجام شد. با این حال، این پروژه‌ها هزینه‌های هنگفتی را به دنبال داشته و همواره با انتقاداتی روبه‌رو بوده‌اند.

راه‌اندازی و نگهداری سرورهای داخلی برای میزبانی اپلیکیشن‌ها هزینه بالایی دارد. تخمین زده شده که برای پشتیبانی از میلیون‌ها کاربر، صدها میلیارد تومان سرمایه‌گذاری در بخش زیرساخت لازم است.

دولت ایران همچنین  برای تشویق کاربران به استفاده از اپلیکیشن‌های داخلی، پهنای باند این اپلیکیشن‌ها را با تعرفه‌ای پایین‌تر یا رایگان ارائه کرده است که این اقدام هزینه قابل‌توجهی را برای دولت به همراه داشته است.

 همچنین فیلترینگ پلتفرم‌های خارجی و حمایت از اپلیکیشن‌های داخلی باعث اختلال در کسب‌وکارهای آنلاین شده است که به کاهش رشد اقتصاد دیجیتال کشور منجر شده است.

چرا نباید از اپلیکشین‌های داخلی استفاده کرد؟

عیسی زارع‌پور، وزیر پیشین ارتباطات در یک برنامه تلویزیونی، در خصوص نگرانی‌هادرباره حریم خصوصی با اشاره به اینکه مردم درباره استفاده از این پیام‌رسان‌های داخلی نگران حریم خصوصی خود هستند بر غیرقانونی بودن دسترسی به اطلاعات خصوصی مردم طبق قانون اساسی جمهوری اسلامی تاکید و تلویحا تلاش کرد تا شائبه نقض حریم خصوصی مردم از طریق این پیام‌رسان‌ها را رد کند. با این حال شواهد و مستندات بیانگر پیش‌بینی و طراحی روش‌هایی برای دسترسی سیستم‌های امنیتی و قضایی جمهوری اسلامی به اطلاعات مردم از طریق این پیام‌رسان‌هاست.

 پیام‌رسان‌های داخلی تحت قوانین جمهوری اسلامی عمل می‌کنند، که این قوانین اجازه دسترسی سازمان‌های امنیتی به اطلاعات کاربران را فراهم می‌کند. این به معنای نبود حریم خصوصی واقعی است.

یکی دیگر از مسائل مهمی که کارشناسان بر آن تاکید می‌کنند سرورهای این پیام‌رسان‌ها در داخل ایران است که  امکان سوءاستفاده یا نظارت مستقیم توسط حکومت را افزایش می‌دهد. پیام‌رسان‌های داخلی معمولاً شفافیتی درباره نحوه نگهداری و پردازش داده‌های کاربران ندارند. سیاست‌های آن‌ها در رابطه با حفظ حریم خصوصی اغلب ناقص یا مبهم هستند.

 گزارش صندوق فناوری باز  تاکید می‌کند که پیام‌رسان‌های داخلی معمولاً از پروتکل‌های رمزنگاری قوی مانند End-to-End Encryption استفاده نمی‌کنند. این موضوع باعث می‌شود پیام‌ها و اطلاعات کاربران به راحتی در معرض رهگیری یا دسترسی قرار گیرند.

این اپلیکیشن‌ها رصد می‌کنند  که کاربران به چه وبسایت‌هایی سر می‌زنند. زمانی که کاربران روی لینک‌های موجود در پیام‌ها کلیک می‌کنند، این اپلیکیشن‌ها از طریق سرورهای پشتیبان خود، آن‌ها را به مقصد هدایت می‌کنند و به این ترتیب می‌توانند فعالیت اینترنتی کاربران را دنبال کنند.

این پیام‌رسان‌ها، داده‌های خصوصی کاربران را به شکلی غیرمنتظره ارسال می‌کنند. برای نمونه، ایتا حتی پیام‌های پیش‌نویسِ ارسال‌نشده را هم به سرور پشتیبان می‌فرستد. یعنی اگر  چیزی را  بنویسید ولی نفرستید باز هم این اطلاعات قابل رصد کردن است.

یکی از نکات مهم امنیتی درباره سه پیام‌رسان ایتا، روبیکا و بله این است که پیام‌های این سه اپلیکیشن در یک مرکز داده باهم تبادل می‌شوند که همین امر نشانگر عدم رمزنگاری این پیام‌ها و تهدید امنیت کاربران و بالا رفتن خطر سوءاستفاده از اطلاعات شخصی افراد است. 

بر پایه این گزارش، این اپلیکیشن‌ها دارای آسیب‌پذیری‌های امنیتی خاصی هستند. برای مثال، ایتا تلاش می‌کند که شناسه بین‌المللی تجهیزات موبایل (IMEI) کاربر را در پیام‌ها قرار دهد که می‌تواند برای ردیابی کاربران استفاده شود. روبیکا اجازه می‌دهد ترافیک به همه دامنه‌ها به صورت رمزگذاری‌ نشده ارسال شود؛ در نتیجه مهاجمان می‌توانند اطلاعات حساس را شنود کنند. بله هم در مرحله تأیید هویت، موقعیت مکانی کاربر را برای سرور ارسال می‌کند که همه این موارد نشان می‌دهد که چطور در فرایند توسعه این سه اپلیکیشن، نظارت بر کاربر بر امنیت داده کاربران اولویت دارد. 

هرچند بسیاری در ایران همچنان به دلایلی که ذکر شد از استفاده از این پیام‌رسان‌ها خودداری کرده‌اند اما حکومت با اعمال قوانین و ملزم کردن دسترسی به شماری از خدمات تنها از طریق استفاده از این اپلیکشن‌ها عملا عرصه را برای رد کامل آن‌ها تنگ کرده است. برای مثال با جابجایی خدمات دولتی و بانکی به این اپ‌ها، کاربران عملاً مجبور به استفاده از آن‌ها هستند. 

 با توجه به ضعف‌های امنیتی گزارش‌شده، کاربران چگونه می‌توانند از اطلاعات خود محافظت کنند؟

کارشناسان حوزه دیجیتال پیشنهاد می‌کنند که مخصوصا فعالین سیاسی  و روزنامه‌نگاران از یک دستگاه جدا برای استفاده از پیام‌رسان‌های داخلی استفاده کنند. طبق توصیه‌های موجود پس از استفاده از این پیام رسان‌ها باید گوشی را خاموش کرد .

در صورتی که امکان تهیه یک دستگاه مجزا برای استفاده از این اپلیکشن‌ها وجود ندارد، بهتر است کاربران پس از نصب اپلیکیشن سریعا آن را حذف کنند و تمامی دسترسی‌های این اپلیکشن‌ها را  به دوربین و میکروفون تلفن همراه  محدود کنید و فقط آن را به زمانی که اپلیکیشن در حال اجرا است محدود کنید.

از ارسال یا ذخیره اطلاعات حساس (مانند تصاویر شخصی، اسناد مهم، یا جزئیات حساب‌های بانکی) در پیام‌رسان‌های داخلی خودداری کنید. به‌روزرسانی منظم دستگاه‌ها و سیستم‌عامل‌ها نیز می‌تواند برای مقابله با آسیب‌پذیری‌ استفاده از این پیام‌رسان‌ها کمک کند.

همچنین پیام‌ها و فایل‌های ارسال‌شده را به‌طور منظم پاک کنید و از ذخیره‌سازی ابری پیام‌رسان‌های داخلی استفاده نکنید.

با وجود نگرانی‌ها درباره عملکرد این اپلیکشن‌ها پس از انتشار گزارش صندوق فناوری باز، روزنامه شرق در تماس با مدیران این سه پیام‌رسان داخلی خواستار ارائه توضیحات آنها درباره این گزارش شد اما هیچ‌کدام از مدیران این پیام‌رسان‌ها حاضر به گفت‌وگو و ارائه توضیحات نشدند.

اپیزودهای دیگر پادکست لایه هفتم