دیجیاتو نوشت: از ماه گذشته تا کنون میزان استفاده از فیلترشکن و نسخههای غیر رسمی تلگرام افزایش یافته است. این اتفاقیست که بعد از فیلتر شدن تلگرام رخ داد و «جهرمی» وزیر ارتباطات روز گذشته در استوری اینستاگرام خود با انتشار نموداری از مرکز آمارسنجی دانشگاه تهران به این موضوع اذعان کرد.
نسخههای غیررسمی تلگرام امن نیستند و مدیرعامل تلگرام هم یک سال قبل این موضوع را گوشزد کرده بود. اما حالا علیرغم هشدارهای مکرر، با فیلتر شدن این پیام رسان و فیلتر نبودن برخی نسخههای غیر رسمی آن، آمار نصب و استفاده از نسخههای غیررسمی تلگرام افزایش قابل توجهی داشته است.
در واقع تلگرام به توسعه دهندگان امکانی را میدهد تا بتوانند نسخه هایی دیگر با طراحی و خدمات مضاعف ارائه کنند. افراد زیادی هم مشتری پروپا قرص نسخههای غیر رسمی تلگرام هستند اما نکتهای که باید به آن توجه کرد، دسترسی غیر مجاز به اطلاعات کاربران و هویت برنامه نویسان است.
چه کسانی بیشتر در معرض خطرند
دسترسی به اطلاعات بزرگترین خطریست که کاربران اینگونه نسخههای تلگرام را تهدید میکند، اما این دسترسی چگونه اتفاق میافتد و کدام کاربران بیشتر در معرض نقض شدن حریم خصوصیشان قرار دارند؟ «محمد هادی بیات» پژوهشگر و فعال حوزه فناوری اطلاعات به دیجیاتو توضیح میدهد:
«اکثر برنامههایی که از API سرویسهای پرمصرف مثل گوگل و تلگرام استفاده میکنند، مانند نسخههای غیر رسمی تلگرام از ارزش دیتاهایی که جابهجا میشود بهره میبرند. در اندروید یا هر سیستم عامل دیگر اولین گامی که باعث دسترسی به اطلاعات کاربر میشود، نصب یک اپلیکیشن یا نرم افزار است. در موبایلهایی که سیستم عامل آنها اندروید است، دسترسی به اطلاعات کاربران به خاطر باز بودن سورس اندروید، بیشتر است. بنابراین کاربران اندرویدی امنیت کمتری دارند.»
دسترسیها ادامه دارد
هنگامی که برنامهای روی گوشی نصب میشود از کاربر اجازه دسترسی به بخشهای مختلف گوشی گرفته میشود که ممکن است کاربر با آن موافقت نکند. اما بیات معتقد است که در برخی از برنامهها با آنکه کاربر اجازه دسترسی نمیدهد اما بازهم دسترسی صورت میگیرد:
«در خیلی از نرم افزارها حتی در نمونههای غیر ایرانی مانند فیس بوک و تلگرام زمانیکه اجازه دسترسی به کانتکتهای خود را لغو میکنید، بازهم اپلیکیشن به آنها دسترسی دارد. اگر موبایل خود را رصد و پایش کنید متوجه خواهید شد که اپلیکیشنها از لاگ گوشی شما استفاده میکنند.»
فروش اطلاعات برای درآمدزایی
شما چه میخواهید؟ جواب این سوال برای صاحبان کسب و کار هزینهبر و برای صاحبان اپلیکیشنها درآمدزاست. به این مبحث مهندسی اجتماعی میگویند یعنی بررسی علایق شخصی شما که از طریق بررسی اطلاعات شخصیتان بدست میآید.
همچنین توسط بررسی فنی در سورسهای کاربران. نحوه دیگر هم پایش جابهجایی اطلاعات است که طبق آن، هم تلگرام میداند شما چه دیتایی را جابه جا میکنید و هم صاحبان نسخههای غیر رسمی تلگرام و سایر اپلیکیشنها. بیات این موضوع را بسیار فراگیر میداند و میگوید:
«طبق آخرین بررسی که انجام دادیم 60 نرم افزار متداول دیده شده که اطلاعات کاربران را پایش میکنند. با توجه به گران بودن منابع ای.تی، زیرساخت و شبکه، طبیعتا کسانیکه خدمات رایگان در اختیار مردم میگذارند، در حال سرمایه گذاری هستند تا از دیتاهای جمع آوری شده، سود ببرند.»
حدود مجاز تا کجاست؟
افرادی که به گوشی شما نفود میکنند، میتوانند چتها و اپهای نصب شده را بررسی کنند یا به دیتاهای کلان دسترسی داشته باشند. کانتکتها، کلید واژهها و حتی عکسها برای آنها قابل بررسی و تحلیل است. مجموع این اطلاعات میتواند تبدیل به بانکهای اطلاعاتی قابل فروش شود. به جز صاحبان برنامهها، هکرها هم میتوانند با نفوذ به اپهای نصب شده اطلاعات شما را بدست بیاورند. برای مثال اگر شخصیت سیاسی و اجتماعی بالایی دارید، اطلاعات شما ارزش بیشتری دارد.
سوال اینجاست که حدود مجاز دسترسی به اطلاعات تا کجاست؟ بیات به این نکته تاکید میکند که این اطلاعات کاربران است که اهمیت دارد و به همین دلیل قیمت گذاری برند تلگرام براساس کاربران فعال آن صورت میگیرد و نه برنامه نویسی و طراحی آن، بنابراین اگر تعداد کاربران تلگرام کم شود، ارزش آن برند نیز کاسته خواهد شد. او در ادامه توضیح میدهد:
«مورد اول در ایران بسیار رواج دارد. شرکتهای تبلیغاتی، ارسال پیامک و... که به این دیتاها نیاز دارند، اطلاعات شما را به انواع گوناگون بهرهبرداری کرده و استفاده میکنند. تا جائیکه دیتاهای بدست آمده، از خدمات خودشان بدست آمده باشد، اشکالی ندارد. برای مثال اپهایی هستند که از خدمات خود دیتای تجاری بدست آورده و میفروشند که البته مفید هم هست. اما اگر صاحب اپ که محصول او مثلا روی 10 میلیون گوشی ایرانی نصب شده به داخل گوشیها سرککشی کند و حریم خصوصی را نقض کند، جاسوسی کرده است.
در این موارد دستگاههای قانونی باید وارد شوند. چراکه این کار توسط مراجع هم حرام اعلام شده اما علیرغم وجود تمامی این قوانین، برخی افراد از حریم و حدود مجاز عبور میکنند منتها ناظران و متولیان باید به آنها نظارت داشته باشند.»
تشخیص نقض کنندگان حریم خصوصی
دو روش برای شناسایی نقض کنندگان حریم خصوصی کاربران وجود دارد. اول افزایش آگاهی کاربران و دوم وضع قوانین حاکمیتی؛ بیات به این امر اعتقاد دارد که کاربر با افزایش سواد خود میتواند برنامهها را به درستی شناسایی و از آن استفاده کند. همچنین در روش دوم حاکمیت با وضع قوانین، نظارت و شناسایی افراد متخلف و برخورد با آنها میتواند تخلفات را جدیتر پیگیری کند. این سه گام باید به همراه هم انجام شود. آگاهی بخشی به مردم باید سریعتر و تخصصیتر انجام شود. همچنین تعامل پلیس و مردم بیشتر شود تا فضای امن بوجود بیاید.
سهم قوه قضائیه در امنیت سایبری
در شکل کلی قانون ورود به حریم خصوصی منع شده است منتها در فضای مجازی نحوه ورود به حریم خصوصی تغییر کرده و نیازمند آن است تا مراجع قانونی اشکال جدید آن را مورد بررسی قرار دهند. این پژوهشگر و فعال حوزه فناوری اطلاعات ادامه داد:
«پلیس تخصصی فضای سایبری باید به شدت مورد توجه قرار گیرد. باید دید چند پلیس فعال در این حوزه داریم و نسبت بین پلیس حوزه فناوری اطلاعات و کاربران فضای مجازی چقدر است؟ چند درصد از فضای قضایی به مشکلات و جرایم سایبری ختصاص پیدا کرده است؟ در فضای دیجیتال باید توجه بیشتری از سمت حاکمیت اعمال شود. دولت لایحه به مجلس بدهد، مجلس قانونگذاری کند و دستگاههای قضایی و انتظامی نظارت دقیقتری به عمل بیاورند. تا در نتیجه مردم اطمینان حاصل کنند که هم قوانین خوبی داریم و هم در اجرا، رسیدگی و پیگیری درست عمل میکنیم.»
غوغای مشکلات مدیریتی
«دستگاههای نظارتی به ابزارهای پیگیری و نظارتی مجهزند، نیروهای فنی خوب هم حضور دارند، دسترسی به تکنولوژیهای حوزه امنیت و شبکه هم سخت نیست اما ساختار نظاممند وجود ندارد.» این نظر بیات است که پس از سالها پژوهش در حوزه فناوری اطلاعات به آن رسیده. او در این باره عنوان میکند:
«در ساختار نظاممند باید نیروی انسانی، بودجه، قوانین و زیرساختها با دقت بررسی شوند. باید دید آیا با توانی که در فضای دیجیتال داریم میتوانیم برای مردم کسب و کار ایجاد کنیم؟ آیا با اضافه شدن کاربران، مردم با مشکلات بیشتری مواجه میشوند، یا نه؟ آیا توان بررسی و رفع مشکلات را داریم؟ باید زیرساختها فراهم شود اما قبل از به وجود آمدن زیرساختها باید نگاه مدیریتی خوبی در حوزه مدیریت ای.تی داشته باشیم. مدیرانی که بتوانند به درستی تصمیم گیری کنند.»
هویت نامشخص برنامهسازان
نسخههای رنگارنگ غیر رسمی تلگرام بسیار زیادند و هرکدام مزیتی نسبت به نسخه دیگر دارند که اشتیاق کاربر را برای نصب آنها بیشتر میکند. اما به جز دسترسی غیرمجاز به اطلاعات کاربر، هویت ناشناخته سازنده برنامه هم موجب شبهه و تردید در نصب برنامهها میشود.
«کیوان نقره کار» کارشناس حوزه فناوری اطلاعات و رسانههای دیجیتال در گفتگو با دیجیاتو به تبعات منفی ناشناخته ماندن طراحان این برنامهها اشاره میکند و میگوید:
«وقتی کاربران متوجه دسترسی غیرمتعارف برنامه به دادههای آنان میشوند شک میکنند و زمانیکه اطلاعاتی از سازنده برنامه نداشته باشند این شک چند برابر میشود. نکته دیگری که اخیرا بعد از فیلتر شدن تلگرام موجب شک و ابهام شد، ورود نسخهای از تلگرام است که میتواند بدون فیلتر خدمات تلگرام را برای کاربران ارائه کند و همین موجب تردید کاربران شد. احتمال دارد اگر نسخههای غیر رسمی تلگرام مشخص کنند که دسترسیها چه اندازه است، طراحان چه کسانی و وابسته به چه ارگانهایی هستند از نگرانی و ابهامات مردم کاسته شود.»
بیشتر برنامه های غیررسمی تلگرامی ایرانی هستند اما نظارت دقیقی بر آنها وجود ندارد. نقرهکار معتقد است اگر نظارتی که توسط وزارت ارشاد اسلامی و مرکز توسعه تجارت الکترونیکی روی وب سایتها انجام میشود بر اپلیکیشنها نیز صورت میگرفت، کاربران بهتر صاحبان برنامهها و اپلیکیشینها را میشناختند و به آنها اطمینان میکردند.
تنظیمات دستی به دسترسی
اپلیکیشنها میتوانند در هنگام نصب طوری تنظیم شوند که به کاربر اعلام کنند برای خدماتدهی به کدام بخش از اطلاعات گوشی آنها دسترسی خواهند داشت. نقره کار عنوان میکند دسترسیهای برنامه در دست برنامه نویس است. بخشی از دسترسیها باید وجود داشته باشد، مثلا اگر برنامه بخواهد خدمات صوتی و تصویری ارائه کند باید به دوربین و گالری دسترسی داشته باشد. نکته اینجاست که اگر قرار است دسترسیهایی داشته باشد در ابتدا باید این اجازه را از کاربر بگیرد تا کاربر بتواند آگاهانه مسیر دسترسیها را باز بگذارد:
«بهترین حالت این است که کاربران بتواند هر زمان که نیاز به خدمات تلگرامهای رنگین داشتند، به صورت دستی تنظیمات دسترسی را باز و بسته کنند. اما الان برنامهها به گونهای طراحی شدهاند که اگر یکبار اجازه دسترسی صادر شود دیگر قادر به کنترل آنها نخواهند بود. بنابراین اگر برنامهها طوری تنظیم شوند که اجازه دسترسی در زمان لازم داده و بعد از آن لغو شود، اعتماد کاربران برنامههای غیررسمی تلگرامی بیشتر میشود.»
مسیری ساده برای هکرها
همیشه این تصور وجود دارد که صاحبان و برنامه نویسان میتوانند از اطلاعات کاربر سو استفاده کنند. درحالیکه ممکن است ضعف فنی نرم افزارهای رنگین مسیر ورود هکرها را از طریق همان برنامهها به اطلاعات کاربران میسر کند و این خطر بیشتری دارد. برنامهها باید چندین شاخصه برای سنجش امنیت داشته باشند تا از آن طریق سطح کیفی و امنیتی برنامهها افزایش یابد.
«حدود 90 درصد تلگرامهای رنگی ایرانی هستند یا توسط ایرانیان خارج از کشور طراحی شدهاند. فضای فیلترینگ موجب شده تا حساسیت کاربران بر امنیت اطلاعاتشان در نمونههای غیر رسمی تلگرام بیشتر شود، مخصوصا زمانیکه نسخههای غیر رسمی تلگرام بدون فیلتر ارائه کردند.
بهتر است از نسخههای رنگین تلگرامی استفاده نشود مگر آنکه از امنیت و هویت سازندگان آنها اطمینان داشته باشیم. همچنین اگر کاربران آگاهی کاملی از برنامهها داشته باشند، میدانند از کدام سرویس ها چه ایرانی و غیر ایرانی استفاده کنند و نیازی به فیلترینگ نخواهد بود.»