گزارش اوتیاف درباره استفاده از پیامرسانهای داخلی ایتا، بله و روبیکا
پیامرسانهای داخلی در ایران که تحت نظارت و کنترل دولت فعالیت میکنند، در سالهای اخیر بهعنوان جایگزین پیامرسانهای خارجی معرفی شدهاند. این پیامرسانها عمدتاً با هدف کاهش وابستگی به سرویسهای خارجی و کنترل بیشتر بر جریان اطلاعات توسعه یافتهاند.
گزارش «صندوق فناوری باز» که در آذرماه ۱۴۰۳ منتشر شد ضمن بررسی سه اپلیکشن اصلی ایتا، روبیکا و بله، به موارد نقض حریم خصوصی و امنیت کاربران در ایران به دلیل استفاده از این پیامرسانها پرداخته است.
در دهمین قسمت از فصل دوم پادکست لایه هفتم با بررسی گزارش صندوق فناوری که در آذر ماه ۱۴۰۳ منتشر شد ضمن بررسی نقش این اپلیکشنها در تهدید امنیت کاربران به راهها مقابله با این تهدیدها پرداختهایم.
****
آزمایشگاه امنیتی صندوق فناوری باز که تحت حمایت دولت آمریکا فعالیت میکند در یک بازه زمانی ده ماهه از دسامبر ۲۰۲۳ تا اکتبر ۲۰۲۴ در ارزیابی عملکرد سه اپلیکشن پیامرسان ایتا، روبیکا و بله اعلام کرد که این اپلیشکنها با نقض حریم خصوصی کاربران، امنیت آنها را تهدید میکنند و سرورهای حکومتی پشتیبان آنها، کاربران را تحت نظر دارند.
گزارش صندوق فناوری باز تاکید میکند که هیچیک از این سه اپلیکیشن از رمزگذاری «سرتاسر» استفاده نمیکنند. همچنین مشخص شد که سرورهای پشتیبانی هر سه اپلیکیشن، وبسایتهایی که کاربران به آنها مراجعه میکنند را رصد میکنند که این کار، سازوکاری برای سانسور و نظارت است.
هرچند رفع فیلترینگ اپلیکشنهایی چون واتسآپ و گوگل پلی از سوی دولت مسعود پزشکیان به عنوان قدمی مثبت برای رفع فیلترینگ کامل عنوان شده است اما طرح جدید شورای عالی مجازی در سندی ۳۲ بندی فعالان حوزه حقوق دیجیتال را نسبت به طبقاتی شدن اینترنت و محدودیت بیشتر فضای مجازی و دسترسی آزاد به اطلاعات نگران کرده است.
غلامحسین محسنیاژهای، رییس قوه قضاییه جمهوری اسلامی، روز پنجم دی ماه ۱۴۰۳ در گفتگو با رسانهها خبر داد:« تصمیمی در ۳۲ بند در جلسه شورای عالی فضایمجازی گرفته شد که بخشی از آن مرتبط با رفع فیلتر تعدادی از سکوها بود. اما عمده بندهای این تصمیم، به تقویت زیرساختها و شبکههای بومی اختصاص دارد که منتشر میشود.»
این سخنان نشان میدهد که عزم جمهوری اسلامی برای کنترل هر چه بیشتر بر فضای اینترنت و قطع دسترسی به اپلیکشنهای خارجی با سیاست بومی سازی شبکه، عزمی جدی است.
داستان ظهور اپلیکشنهای داخلی در ایران
دولت ایران بارها اعلام کرد که ذخیرهسازی اطلاعات کاربران در خارج از کشور تهدیدی برای امنیت ملی است. این ادعا زمانی شدت گرفت که پس از تاثیر مشهود اپلیکشن تلگرام در اعتراضات ۱۳۹۶ ، این پیامرسان از انتقال سرورهای خود به ایران خودداری کرد. این در حالی است که یکی از اهداف اصلی فیلترینگ تلگرام، تشویق کاربران به استفاده از پیامرسانهای داخلی اعلام شد و دولت سعی کرد با ارائه پیامرسانهای بومی مانند سروش و ایتا، جایگزینی برای تلگرام فراهم کند.
با این حال با وجود تبلیغات گسترده و حمایتهای دولتی، پیامرسانهای داخلی نتوانستند اعتماد گسترده کاربران را جلب کنند، زیرا این نگرانی جدی وجود داشت که حریم خصوصی کاربران با استفاده از این پیامرسانها نقض شود.
توسعه این اپلیکیشنها به بهانه تقویت «اقتصاد دیجیتال ملی» و کاهش وابستگی به پلتفرمهای خارجی انجام شد. با این حال، این پروژهها هزینههای هنگفتی را به دنبال داشته و همواره با انتقاداتی روبهرو بودهاند.
راهاندازی و نگهداری سرورهای داخلی برای میزبانی اپلیکیشنها هزینه بالایی دارد. تخمین زده شده که برای پشتیبانی از میلیونها کاربر، صدها میلیارد تومان سرمایهگذاری در بخش زیرساخت لازم است.
دولت ایران همچنین برای تشویق کاربران به استفاده از اپلیکیشنهای داخلی، پهنای باند این اپلیکیشنها را با تعرفهای پایینتر یا رایگان ارائه کرده است که این اقدام هزینه قابلتوجهی را برای دولت به همراه داشته است.
همچنین فیلترینگ پلتفرمهای خارجی و حمایت از اپلیکیشنهای داخلی باعث اختلال در کسبوکارهای آنلاین شده است که به کاهش رشد اقتصاد دیجیتال کشور منجر شده است.
چرا نباید از اپلیکشینهای داخلی استفاده کرد؟
عیسی زارعپور، وزیر پیشین ارتباطات در یک برنامه تلویزیونی، در خصوص نگرانیهادرباره حریم خصوصی با اشاره به اینکه مردم درباره استفاده از این پیامرسانهای داخلی نگران حریم خصوصی خود هستند بر غیرقانونی بودن دسترسی به اطلاعات خصوصی مردم طبق قانون اساسی جمهوری اسلامی تاکید و تلویحا تلاش کرد تا شائبه نقض حریم خصوصی مردم از طریق این پیامرسانها را رد کند. با این حال شواهد و مستندات بیانگر پیشبینی و طراحی روشهایی برای دسترسی سیستمهای امنیتی و قضایی جمهوری اسلامی به اطلاعات مردم از طریق این پیامرسانهاست.
پیامرسانهای داخلی تحت قوانین جمهوری اسلامی عمل میکنند، که این قوانین اجازه دسترسی سازمانهای امنیتی به اطلاعات کاربران را فراهم میکند. این به معنای نبود حریم خصوصی واقعی است.
یکی دیگر از مسائل مهمی که کارشناسان بر آن تاکید میکنند سرورهای این پیامرسانها در داخل ایران است که امکان سوءاستفاده یا نظارت مستقیم توسط حکومت را افزایش میدهد. پیامرسانهای داخلی معمولاً شفافیتی درباره نحوه نگهداری و پردازش دادههای کاربران ندارند. سیاستهای آنها در رابطه با حفظ حریم خصوصی اغلب ناقص یا مبهم هستند.
گزارش صندوق فناوری باز تاکید میکند که پیامرسانهای داخلی معمولاً از پروتکلهای رمزنگاری قوی مانند End-to-End Encryption استفاده نمیکنند. این موضوع باعث میشود پیامها و اطلاعات کاربران به راحتی در معرض رهگیری یا دسترسی قرار گیرند.
این اپلیکیشنها رصد میکنند که کاربران به چه وبسایتهایی سر میزنند. زمانی که کاربران روی لینکهای موجود در پیامها کلیک میکنند، این اپلیکیشنها از طریق سرورهای پشتیبان خود، آنها را به مقصد هدایت میکنند و به این ترتیب میتوانند فعالیت اینترنتی کاربران را دنبال کنند.
این پیامرسانها، دادههای خصوصی کاربران را به شکلی غیرمنتظره ارسال میکنند. برای نمونه، ایتا حتی پیامهای پیشنویسِ ارسالنشده را هم به سرور پشتیبان میفرستد. یعنی اگر چیزی را بنویسید ولی نفرستید باز هم این اطلاعات قابل رصد کردن است.
یکی از نکات مهم امنیتی درباره سه پیامرسان ایتا، روبیکا و بله این است که پیامهای این سه اپلیکیشن در یک مرکز داده باهم تبادل میشوند که همین امر نشانگر عدم رمزنگاری این پیامها و تهدید امنیت کاربران و بالا رفتن خطر سوءاستفاده از اطلاعات شخصی افراد است.
بر پایه این گزارش، این اپلیکیشنها دارای آسیبپذیریهای امنیتی خاصی هستند. برای مثال، ایتا تلاش میکند که شناسه بینالمللی تجهیزات موبایل (IMEI) کاربر را در پیامها قرار دهد که میتواند برای ردیابی کاربران استفاده شود. روبیکا اجازه میدهد ترافیک به همه دامنهها به صورت رمزگذاری نشده ارسال شود؛ در نتیجه مهاجمان میتوانند اطلاعات حساس را شنود کنند. بله هم در مرحله تأیید هویت، موقعیت مکانی کاربر را برای سرور ارسال میکند که همه این موارد نشان میدهد که چطور در فرایند توسعه این سه اپلیکیشن، نظارت بر کاربر بر امنیت داده کاربران اولویت دارد.
هرچند بسیاری در ایران همچنان به دلایلی که ذکر شد از استفاده از این پیامرسانها خودداری کردهاند اما حکومت با اعمال قوانین و ملزم کردن دسترسی به شماری از خدمات تنها از طریق استفاده از این اپلیکشنها عملا عرصه را برای رد کامل آنها تنگ کرده است. برای مثال با جابجایی خدمات دولتی و بانکی به این اپها، کاربران عملاً مجبور به استفاده از آنها هستند.
با توجه به ضعفهای امنیتی گزارششده، کاربران چگونه میتوانند از اطلاعات خود محافظت کنند؟
کارشناسان حوزه دیجیتال پیشنهاد میکنند که مخصوصا فعالین سیاسی و روزنامهنگاران از یک دستگاه جدا برای استفاده از پیامرسانهای داخلی استفاده کنند. طبق توصیههای موجود پس از استفاده از این پیام رسانها باید گوشی را خاموش کرد .
در صورتی که امکان تهیه یک دستگاه مجزا برای استفاده از این اپلیکشنها وجود ندارد، بهتر است کاربران پس از نصب اپلیکیشن سریعا آن را حذف کنند و تمامی دسترسیهای این اپلیکشنها را به دوربین و میکروفون تلفن همراه محدود کنید و فقط آن را به زمانی که اپلیکیشن در حال اجرا است محدود کنید.
از ارسال یا ذخیره اطلاعات حساس (مانند تصاویر شخصی، اسناد مهم، یا جزئیات حسابهای بانکی) در پیامرسانهای داخلی خودداری کنید. بهروزرسانی منظم دستگاهها و سیستمعاملها نیز میتواند برای مقابله با آسیبپذیری استفاده از این پیامرسانها کمک کند.
همچنین پیامها و فایلهای ارسالشده را بهطور منظم پاک کنید و از ذخیرهسازی ابری پیامرسانهای داخلی استفاده نکنید.
با وجود نگرانیها درباره عملکرد این اپلیکشنها پس از انتشار گزارش صندوق فناوری باز، روزنامه شرق در تماس با مدیران این سه پیامرسان داخلی خواستار ارائه توضیحات آنها درباره این گزارش شد اما هیچکدام از مدیران این پیامرسانها حاضر به گفتوگو و ارائه توضیحات نشدند.