«صندوق فناوری باز»: پیام‌رسان‌های ایرانی امن نیستند و اطلاعات کاربران را به اشتراک می‌گذارند!

سازمان «صندوق فناوری باز»، در گزارش تازه خود درباره پیام‌رسان‌های بومی تحت حمایت جمهوری اسلامی نوشته که این پیام‌رسان‌ها نه‌تنها حریم خصوصی کاربران را نقض می‌کنند و داده‌های آن‌ها روی سرورهای حکومتی ذخیره می‌شود، بلکه حفره‌های امنیتی دارند که باعث می‌شود داده‌های شخصی و ارتباطات افراد در معرض سرقت، نظارت و سوءاستفاده قرار گیرند.

صندوق فناوری باز، «بله»، «ایتا» و «روبیکا» را در یک بازه زمانی ده ماهه در آزمایشگاه‌های امنیتی خود مورد بررسی قرار داده تا نگرانی‌های امنیتی پیرامون این پیام‌رسان‌ها را بررسی کند. نتایج بررسی نشان می‌دهد که حکومت به سادگی می‌تواند فعالیت‌های کاربر را رصد کند.

همچنین روبیکا و ایتا به کدهای تلگرام متکی هستند و ادعاهای حکومت ایران درباره رمزنگاری سرتاسری و اختصاصی این پیام‌رسان‌ها درست نیست. هر سه پیام‌رسان لیست کاربران را ذخیره و داده‌های آن‌ها در سرورهای حکومتی ذخیره می‌کنند و اطلاعات کاربران را با یکدیگر به اشتراک می‌گذارند.

طبق این بررسی در ایتا، مهاجمان می‌توانند با دسترسی فیزیکی به دستگاه داده‌هایی از جمله مثل تاریخچه پیام‌ها را استخراج کنند. در روبیکا، ترافیک رمزنگاری‌نشده کشف شده که این آسیب‌پذیری به مهاجمان اجازه می‌دهد شبکه را نظارت و داده‌‌های حساس مانند رمز عبور یا اطلاعات شخصی را رهگیری کنند.

در بله، داده‌های موقعیت مکانی کاربر در زمان احراز هویت به سرور ارسال می‌شود و رمزنگاری مورد استفاده آن ضعیف است و می‌توان آن را به راحتی بازگشایی کرد و به داده‌های مهم و خصوصی کاربران دست پیدا کرد.

استفاده از پیام‌رسان‌هایی که با حمایت‌های مستقیم جمهوری اسلامی رشد کرده‌اند و تحت نظارت مستقیم حکومت قرار دارند، منجر به نقض حریم خصوصی و کاهش امنیت خواهد شد. همانطور که بله و روبیکا در گذشته سابقه نقض حریم خصوصی کاربران را دارند.

سال گذشته تصویری در شبکه‌های اجتماعی منتشر شد که نشان می‌داد کارمندان پیام‌رسان بله به پیام‌های کاربران دسترسی دارد. روبیکا نیز پیش از آن اقدام به ساخت حساب‌های جعلی برای افراد مشهور کرده بود!

اپلیکیشن‌های داخلی، با توجه به محدودیت‌های گسترده و عدم شفافیت در فرآیند نظارت بر آن‌ها، زمینه بهره‌برداری نهادهای حکومتی را از اطلاعات کاربران فراهم می‌آورند. از این طریق حکومت و دستگاه‌های امنیتی می‌توانند ابزار لازم برای ترساندن، سرکوب و اعمال فشار بر فعالان مدنی، روزنامه‌نگاران و عموم مردم را در حد امکان اختیار داشته باشند.

باید توجه داشت که اگر مجبور به استفاده از پیام‌رسان‌های داخلی هستید، از انجام فعالیت‌های حساس در اپلیکیشن خودداری کنید و مجوزهای دسترسی اپلیکیشن را محدود کنید.

عدم شفافیت و نبود نظارت مستقل، ریسک استفاده از چنین ابزارهایی را به‌شدت افزایش داده و اعتماد به این خدمات را از بین می‌برد.

پس‌کوچه بارها درباره امنیت پیام‌رسان‌های بومی و خطرات استفاده از آن‌ها هشدار داده است. باید توجه داشت که صرفا ادعای اجرای رمزنگاری سرتاسری کافی نیست و بدون ممیزی امنیتی نمی‌توان ادعاهای پیرامون امنیت یک اپلیکیشن را پذیرفت.

پیشنهاد‌ها و انتقادات خود را از طریق شبکه‌های اجتماعی پس‌کوچه با ما در میان بگذارید.

کانال تلگرام پس‌کوچه:

https://t.me/paskoocheh 

شناسه‌ی ادمین کانال تلگرام:

https://t.me/paskadmin 

توییتر پس‌کوچه:

https://twitter.com/PasKoocheh 

فیس‌بوک پس‌کوچه:

https://www.facebook.com/biapaskoocheh 

اینستاگرام پس‌کوچه:

https://www.instagram.com/paskoocheh