انتشار گزارشی نگران‌کننده: آیا ایتا، روبیکا و بله به‌عنوان اپلیکیشن‌های ناامن معرفی شده‌اند؟

مسئله امنیت اطلاعات و حفظ حریم خصوصی کاربران در اپلیکیشن‌های پیام‌رسان بومی از زمان آغاز فعالیت این پلتفرم‌ها در کشور، همواره مورد تردید و بحث بوده است. در این راستا، ماجرای هک اطلاعات یا حذف این اپلیکیشن‌ها از فروشگاه‌های خارجی به‌دلیل عدم رعایت اصول امنیتی بارها به گوش رسیده و کارشناسان متعددی با ارائه شواهدی نشان داده‌اند که این پیام‌رسان‌ها از نظر امنیتی قابل اعتماد نیستند. در عین حال، مدیران این پیام‌رسان‌ها مدام تأکید می‌کنند که این ادعاها با هدف تخریب اعتبار آنها مطرح شده و عده‌ای تلاش دارند تا مانع از جذب کاربران به این بسترهای داخلی شوند.

به نقل از روزنامه شرق، براساس تازه‌ترین نتایج یک تحقیق درباره سه اپلیکیشن پیام‌رسان پرطرفدار در ایران، یعنی ایتا، بله و روبیکا، این سه پلتفرم هیچ‌گونه امنیتی ندارند و امکان رصد فعالیت‌های کاربران در آنها وجود دارد. اما چقدر می‌توان به این گزارش اعتماد کرد؟ چگونه این گزارش توانسته برعکس ادعای مدیران این اپلیکیشن‌ها که بر بالاترین سطح امنیت و رمزنگاری پیام‌ها تأکید دارند، اعلام کند که هیچ گونه رمزنگاری‌ای در این بسترها انجام نمی‌شود؟ آیا راهی وجود دارد که کاربران مجبور به استفاده از این پلتفرم‌ها بتوانند از اطلاعات خود محافظت کنند؟

محدودیت‌ها و دسترسی به کاربران میلیونی

در سال‌های اخیر و به ویژه از زمان آغاز فیلترینگ گسترده سرویس‌های خارجی، دولت‌های گذشته، سیاست‌های مشخصی را برای ترغیب به استفاده از پیام‌رسان‌های داخلی به کار گرفته‌اند. در سه سال گذشته، تعدادی از خدمات آنلاین ضروری مانند ثبت‌نام در دانشگاه، آموزش مدارس، خدمات بهداشتی و بانکداری به این اپلیکیشن‌ها منتقل شده است تا به استفاده بیشتر از آنها کمک کند.

حمایت‌های دولتی از پیام‌رسان‌های بومی به‌شدت در افزایش تعداد کاربران آنها که غالباً به اجبار در این پلتفرم‌ها ثبت‌نام کرده‌اند، تاثیرگذار بوده است. طبق جدیدترین آمار ارائه شده توسط وزارت ارتباطات دولت سیزدهم، حدود ۸۹ میلیون نفر در این پیام‌رسان‌ها ثبت‌نام کرده‌اند. در میان پیام‌رسان‌های مختلف که از حمایت‌های مالی دولت دوازدهم و سیزدهم بهره‌مند شده‌اند، ایتا، بله و روبیکا بیشترین استقبال را داشته‌اند. تا خرداد ۱۴۰۳ طبق اعلام وزارت ارتباطات، تعداد کاربران روبیکا به ۴۴.۷ میلیون و کاربران ایتا به ۳۰.۵ میلیون نفر رسیده است. همچنین، تعداد کاربران بله نیز ۱۳ میلیون اعلام شده است.

ارزیابی امنیت ایتا، بله و روبیکا چگونه بوده است؟

آزمایشگاه امنیتی صندوق فناوری باز (OTF) در شرایط آزمایشگاهی، وضعیت امنیتی این سه پیام‌رسان را مورد بررسی قرار داد و به این نتیجه رسید که هیچ‌یک از آنها ایمن نیستند. این بررسی در مراحل مختلفی و به‌ویژه در دسامبر ۲۰۲۳ انجام شد و از تحلیل ایستا برای ارزیابی ایجاد رمزگذاری و نگرانی‌های حریم خصوصی بکار گرفته شد. سؤال اصلی این است که آیا این پیام‌رسان‌ها از شیوه E2EE) End-to-end encryption) برای کدگذاری مکالمات کاربران استفاده می‌کنند و آیا نگرانی‌های جدی در زمینه امنیت و حریم خصوصی وجود دارد؟

فاز دوم تحقیق نیز در اکتبر ۲۰۲۴ انجام شد که شامل تحلیل پویا برای صحت‌سنجی یافته‌های فاز اول بود. در این فاز اصلی‌ترین پرسش این بود که چه نوع رمزنگاری به کار گرفته می‌شود و آیا ارتباطات میان این سه پلتفرم امن است؟

پس از انجام این مراحل، نتایج بررسی‌ها درباره امنیت این سه پیام‌رسان منتشر شد. طبق این نتایج، هیچ‌یک از این اپلیکیشن‌ها از E2EE برای محافظت از مکالمات کاربران در برابر سرورهای پشتیبان استفاده نمی‌کنند. در هر سه اپلیکیشن، زمانی که کاربران به لینک‌های ارسالی در پیام‌ها کلیک می‌کنند، به سرور پشتیبان هدایت می‌شوند و آدرس اصلی (URL) به‌عنوان بخشی از کوئری به سرور ارسال می‌گردد. این عمل به سرور‌ها این امکان را می‌دهد که فعالیت‌های کاربران را تحت نظر داشته باشند.

در ایتا، داده‌های کاربران مانند تاریخچه پیام‌ها ممکن است با دسترسی فیزیکی به دستگاه، توسط مهاجمان استخراج شود. همچنین پیام‌های پیش‌نویس نیز به سرور فرستاده می‌شوند.

روبیکا دارای ترافیک غیررمزگذاری‌شده‌ای است که به هر نظارتی روی شبکه این اجازه را می‌دهد که اطلاعات حساس مانند رمز عبور یا داده‌های شخصی را که در قالب متن ساده ارسال می‌شوند، ردیابی کند.

در پیام‌رسان بله، داده موقعیت مکانی کاربر در فرآیند احراز هویت به سرور ارسال می‌شود و نوعی رمزنگاری در این اپلیکیشن به‌کار رفته که به سادگی قابل بازگشایی است.

این ارزیابی همچنین حاکی از آن است که تنها اپلیکیشن‌های ایتا و روبیکا بر پایه کد منبع یکی از نسخه‌های Telegram توسعه یافته‌اند. در حالی که هر دو این پلتفرم بارها اذعان کرده‌اند که به دست برنامه‌نویسان ایرانی و در داخل کشور ایجاد شده‌اند.

یکی از یافته‌های دیگر این گزارش به طرح متقابل اتصال پیام‌رسان‌ها اشاره دارد که سال گذشته از آن رونمایی شد. این طرح فاقد پروتکل امنی برای انتقال پیام‌های بین کاربران است و به سمت پروتکلی به نام MXB رفته که امکان دسترسی به مطالعه پیام‌ها را فراهم می‌کند.

ناامنی پروتکل مورد استفاده در طرح اتصال متقابل پیام‌رسان‌های داخلی در حالی مطرح می‌شود که عیسی زارع‌پور، وزیر پیشین ارتباطات، در مراسم رونمایی از این طرح به امن بودن آن تأکید کرده و گفته بود: «پیام‌رسان‌های مختلف از طریق این پروتکل به هم متصل می‌شوند و این پروتکل کاملاً ایمن و استاندارد است و به شیوه End-to-End پیام‌ها رمزگذاری می‌شوند». همچنین او خاطرنشان کرده که وزارت ارتباطات به‌عنوان نهاد تنظیم‌گر، پروتکل‌های امنیتی را تدوین و برای اجرایی شدن در اختیار پیام‌رسان‌ها قرار می‌دهد و نیز نظارت بر اجرای صحیح این طرح را برعهده دارد.

آیا باید نگران اطلاعات خود باشید؟

پس از انتشار گزارش OTF، عده‌ای از کارشناسان و تحلیل‌گران امنیتی هشدار دادند که باقی ماندن این اپلیکیشن‌ها بر روی گوشی‌ها ممکن است خطرناک باشد و حتی اگر از روی گوشی‌ها حذف شوند، احتمال دسترسی به اطلاعات و رصد آن وجود دارد. این اظهارات موجب نگرانی کسری از کاربران شده‌است که ناچار به نصب این اپلیکیشن‌ها برای استفاده از خدمات دولتی شده‌اند.

وحید فرید، کارشناس حوزه فناوری اطلاعات، این نگرانی‌ها را بی‌اساس می‌داند و تأکید می‌کند که با پاک کردن این اپ‌ها دیگر آنها دسترسی به اطلاعات خصوصی کاربران نخواهند داشت. او بیان می‌کند: «در همین گزارش به این موضوع اشاره شده که این پیام‌رسان‌ها دسترسی به فضای گوشی شما یا امکان شنود دیگر برنامه‌ها را ندارند و تنها به آنچه که کاربران اجازه می‌دهند دسترسی دارند». او همچنین به این نکته اشاره دارد که بعد از حذف این برنامه‌ها از روی گوشی، هیچ داده‌ای از این برنامه دیگر وجود نخواهد داشت؛ مگر اینکه در زمان نصب، بدافزاری به‌طور ویژه‌ روی گوشی نصب شده باشد که معمولاً توسط سیستم‌عامل اندروید شناسایی و به کاربر هشدار داده می‌شود.

به منظور کسب اطلاعات درباره وضعیت امنیت کاربران در بله، ایتا و روبیکا، روزنامه چندین بار با مدیران این سه اپلیکیشن تماس گرفته است، اما هیچ‌کدام از آنها پاسخی ارائه نکردند. در این میان، فقط پیام‌رسان «بله» با کمال اختصار اطلاعات مطرح‌شده در گزارش را رد کرد و اطمینان داد که اطلاعات کاربران این پلتفرم همیشه در شرایط ایمن محافظت می‌شود. همچنین این اپلیکیشن برای ارائه پاسخ‌های بیشتر درخواست زمان بیشتری داشت.

در بحث مداوم درباره حفظ امنیت و حریم خصوصی در پیام‌رسان‌های بومی، بهترین توصیه‌ای که کارشناسان به کسانی که مجبور به استفاده از این نرم‌افزارها هستند، دارند این است که هرگز اطلاعات حساس و مهم خود را از طریق این پیام‌رسان‌ها مبادله نکنند.