آیا تاکسیآنلاینها از مسافران خود جاسوسی میکنند؟
از هر چهار برنامه اندرویدی، سه برنامه به ابزار ردگیری و کنترل کاربران مجهز هستند و البته بیشتر مشتریان از این امر آگاه نیستند.
به گزارش افکارنیوز، «با انتشار فیلمی در فضای مجازی و دست به دست شدن آن در شبکههای اجتماعی بار دیگر موضوع حفظ حریم خصوصی در کانون توجه قرار گرفت؛ فیلمی که ادعا میشود روایتگر آن یک هکر است که نسبت به دسترسیهای بیش از اندازه یکی از اپلیکیشنهای تاکسیهای آنلاین به بخشهای مختلف تلفن هوشمند کاربران انتقاد دارد. در این فیلم عنوان شده است در حالی که دو اپلیکیشن تاکسی آنلاین، دسترسیهایی معقول به کاربران خود دارند ولی یک تاکسی آنلاین با ایجاد دسترسیهایی غیر ضروری میتواند گالری، لیست مخاطبان، کارت حافظه و حافظه داخلی گوشی هوشمند کاربر را در اختیار بگیرد. در پی انتشار این فیلم روزنامه ایران سراغ فعالان تاکسیهای آنلاین و همچنین کارشناسان امنیت سایبری در مرکز ماهر و… رفته و نظر آنان را درباره این فیلم و میزان دسترسی اپلیکیشن تاکسیهای آنلاین به حریم خصوصی کاربران جویا شده است.
فیلمی غلط با تفسیری نادرست
فیلم منتشر شده در فضای مجازی، در حالی برخی کاربران را نگران کرده است که «محمد تسلیمی» یکی از کارشناسان امنیت مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، معتقد است این فیلم تفسیر نادرستی از لحاظ فنی ارائه داده است و محتوا و اظهار نظرهای غلط زیادی در آن دیده میشود. از نگاه وی حتی میتوان این فیلم را مغرضانه دانست چون شخصی که به عنوان هکر معرفی شده، تنها با مقایسهای ساده با اپلیکیشنهای دیگر میتوانست متوجه شود که هر اپ برای کارکرد خود، به چه میزان دسترسی از سیستم عامل نیاز دارد و البته مشابه این دسترسیها را در بیشتر اپلیکیشنهای دیگر هم میتوان دید. تسلیمی میافزاید، فردی که این فیلم را ارائه داده، اطلاعات فنی دقیقی روی این موضوع نداشته است.
وی یادآور شد که در این فیلم، برخی گزینهها به اشتباه تفسیر شده، به عنوان مثال در خصوص مکان (location) در فیلم با اشاره به ۲ آیتم، عنوان شد که در یک مورد حتی اگر اپلیکیشن، بسته هم باشد سرور میتواند مکان کاربر را پیدا کند. باید گفت که این تفسیر کاملاً اشتباه است و در واقع این دو آیتم، دسترسی به مکان تقریبی و آیتم دسترسی به مکان دقیق است که از دو منبع مختلف تأمین میشود. به عنوان مثال یکی از این لوکیشنها از طریق «جی پی اس» خود گوشی و دیگری از لوکیشن سرویس گوگل ارائه میشود و در واقع اطلاعات تکمیلی میدهد که هر اپلیکیشنی که بخواهد لوکیشن دقیق به شما بدهد مجبور است از هر دوی این سرویسها استفاده کند.
این کارشناس امنیت مرکز ماهر درباره دسترسی اپلیکیشن به حافظه داخلی یا جانبی نیز با اشاره به این که مرکز ماهر در این زمینه بررسی دقیقی انجام نداده است، گفت: هر چند ما هنوز دلیل این دسترسی را نمیدانیم و باید مطالعه شود ولی باید گفت که نیاز به چنین مجوزی، موضوع عجیب و غیر رایجی برای اپها نیست. به هر حال هر کدام از دسترسیهای اپ تاکسیهای آنلاین، کاربردی ویژه دارد و توجیه دقیقتر برای وجود آن را باید خود شرکت تولیدکننده ارائه دهد.
تسلیمی با اشاره به این که توسعهدهنده نرمافزار معمولاً دسترسیها را در مراحل مختلف کار ممکن است کم و زیاد کند، به «ایران» گفت: نمیتوان تنها به صرف وجود یک دسترسی اضافه، قضاوت کرد که این شرکت در حال سوءاستفاده است. در مواردی حتی ممکن است در کدنویسی، اشتباهی رخ داده باشد که این موضوع با یک تذکر و اطلاعرسانی حل میشود.
وی البته در پاسخ به سؤال روزنامه ایران درباره متولی این امر اظهار داشت: هنوز متولی مشخصی در این زمینه وجود ندارد و به طور مستقیم وظیفه ما نیست ولی اگر مرکز ماهر به موردی برخورد و صحتش را تأیید کند حتماً تذکر میدهد.
تسلیمی البته افزود: مرکز ماهر و سازمان فناوری اطلاعات با مستندات مرجع، الزاماتی را برای مارکتهایی که این اپها را توزیع میکنند، تهیه و تدوین کرده و در این زمینه، جلساتی هم با این تیمها و شرکتها برگزار و دستورالعملها ابلاغ شده است که این موارد نیز جزو فرآیند ارزیابیهایی محسوب میشود که این توزیعکنندگان باید روی اپهایشان انجام دهند؛ هر چند پیش از این نیز خود شرکتها، سیاستهایی در فرآیندهای امنیتی داشتند.
این کارشناس امنیت اطلاعات همچنین عنوان کرد که برای کاربران هیچ جای نگرانی نیست و فکر نمیکنم هیچ نقض حریم خصوصی صورت گرفته باشد، حتی در نگاه اولیه این دسترسیها را غیر طبیعی نمیدانم ولی بررسیهایی دقیقتر انجام خواهد شد.
وی در پایان از کاربران خواست هرگونه اپلیکیشنی را فقط از مراکز مجاز و مارکتهای شناخته شده، دانلود کنند و هرگز سراغ سی دی، فلش، کانالهای تلگرام و… نروند. تسلیمی همچنین یادآور شد که کاربران باید به موضوع آپدیت و به روزرسانی اپلیکیشنها نیز توجه کافی داشته باشند.
امکان غیر فعالسازی دسترسیها
مدیر روابط عمومی یکی از تاکسیهای آنلاین که با انتشار این فیلم متهم شده است، در پاسخ به این اتهام گفت: سامانه هوشمند حملونقل ما فقط اطلاعات مربوط به حساب کاربر (از جمله شماره تلفن، آدرس ایمیل و مشخصات هر سفر) را ذخیره میکند و در نسخه اندروید مسافر هم سه نوع دسترسی به موقعیت مکانی، فون و حساب کاربری دیده میشود.
وی در توضیح این دسترسیها نیز اظهار داشت: دسترسی به موقعیت مکانی (Location) برای تعیین دقیق مبدأ مسافر مورد استفاده قرار میگیرد و مسافر هم بعد از تعیین مبدأ خود میتواند موقعیتیاب دستگاهش را خاموش کند. دسترسی به فون (Phone) هم برای راحت کردن عملیات شارژ حساب کاربری از طریق کدهای USSD استفاده میشود.
به گفته وی، دسترسی به حساب کاربری (Contacts) برای ذخیره استاندارد اطلاعات حساب در گوشی کاربران به کار میرود.
مدیر روابط عمومی این تاکسی آنلاین در ادامه با بیان این که گوگل از اندروید ۶ به بعد، امکان فعال یا غیر فعال کردن دسترسیهای هر اپلیکیشن را در اختیار کاربرانش قرار داده است، گفت: بنابراین فعال یا غیر فعالسازی دسترسیهای اپلیکیشن، به طور مستقیم از سوی کاربران صورت میگیرد و ما دخالتی در آن نداریم. هر سه مورد این دسترسی، اختیاری بوده و برای راحتتر کردن کار با اپلیکیشن مربوطه است و کاربران با غیر فعال کردن آنها همچنان میتوانند از اپلیکیشن ما استفاده کنند.
وی ادامه داد: اپلیکیشن تاکسی آنلاین ما به هیچ عنوان به حافظه داخلی، گالری، لیست مخاطبها، شماره تلفنها، اطلاعات حساس و سایر اپلیکیشنهای گوشی مسافران خود دسترسی ندارد و تنها برخی از اطلاعات سفر کاربران در دیتاسنترهای امن و به صورت کاملاً محرمانه ذخیرهسازی میشود. این اطلاعات نیز طبقهبندیشده و فوقمحرمانه هستند و دسترسی لایه لایه به آنها وجود دارد.
این مدیر روابط عمومی همچنین یادآور شد که به زودی در نسخه جدید نرمافزار مسافران این امکان ارائه میشود که دسترسی به تاریخچه سفر کاربران تنها از طریق رمز عبوری (Pin Code) که خودشان در اپ تعریف میکنند، امکانپذیر باشد.
مقابله نادرست کسب و کار سنتی با آنلاین
به دنبال انتشار این فیلم، علیرضا رمضانی، مدیر روابط عمومی یکی دیگر از تاکسیهای آنلاین به «ایران» گفت: نرمافزار ما به لحاظ فنی به اطلاعات کاربران دسترسی ندارد و در حقیقت میتوان گفت این سیستم عامل اندروید است که دسترسیهای کلی را در گوشیهای هوشمند خود قرار داده است و اپلیکیشنها میتوانند دسترسیهای خود را محدودتر از آن چه هست، بکنند. شرکت ما نیز دسترسی به اطلاعات را بسیار محدود کرده و در واقع به حداقل اطلاعات مورد نیاز کاربران و رانندگان دسترسی دارد؛ به طوری که با نبود این اطلاعات، بخش فنی دچار اختلال میشود.
وی ادامه داد: تاکسی آنلاین ما تنها از بخش دسترسی به لوکیشنها استفاده میکند. بنابراین به هیچ وجه به حریم شخصی و خصوصی کاربران دسترسی ندارد.
مدیر روابط عمومی این شرکت تاکسی آنلاین با بیان این که انتشار چنین فیلمهایی صرفاً برای ایجاد اختلال در روند فعالیت کسب و کارهای نوین است، گفت: از زمانی که کسب و کارهای آنلاین و تکنولوژیهای جدید وارد بازار شدهاند، کسب و کارهای سنتی، آنها را رقیب خود میدانند و احساس خطر میکنند. به هرحال وقتی تکنولوژی وارد کسب و کار میشود، تغییر بازار کار غیر ممکن است و این طبیعت تکنولوژی است.
رمضانی افزود: درباره تاکسیهای آنلاین نیز همین اتفاق افتاده است. از وقتی تکنولوژی وارد کار حمل و نقل داخل شهری شده است نه تنها هزینهها را کاهش داده است بلکه سیستم را نیز بهینه کرده و اشتغالزایی را به دنبال داشته است ولی این موضوع به مذاق خیلیها خوش نیامده و برخی به کارشکنی میپردازند.
ضرورت وجود آزمایشگاههای ارزیابی
درباره انتشار این فیلم سراغ یکی دیگر از کارشناسان امنیت سایبری رفتیم. «امید توکلی» طراح و راهبر راهکارهای امنیت اطلاعات و عملیات نیز در این باره گفت: فیلمی که منتشر شده است با دسترسیهایی که در نسخه فعلی این تاکسی آنلاین وجود دارد، متفاوت است. از این رو به نظر میرسد این کلیپ روی نسخههای قدیمیتر آن تهیه شده است.
وی ادامه داد: قبلاً این اپلیکیشن دسترسیهای بیشتری روی گوشیها تعریف کرده بود که در نسخه فعلی و بهروزرسانی شده، دیگر وجود ندارد.
توکلی افزود: اکنون دسترسی به فایلها وجود ندارد ولی اگر فرض کنیم کاربران یا رانندهها نیاز دارند که عکس پروفایل آنها روی اپلیکیشن آپلود شود، باید اپ دسترسی به مدیا و فایلها وجود داشته باشد ولی این لزوماً به معنای جاسوسی اپ از فایلهای کاربر نیست.
وی در ادامه گفت: عملاً برنامهنویس اپ، دسترسیهای مورد نیاز اپ را تعریف کرده و از اندروید میگیرد. نکته بسیار مهم این است که به سازوکار ارزیابی و بررسی دسترسیها و آسیبپذیریهای اپهای پرکاربرد نیز نیاز داریم ولی متأسفانه هنوز زیرساخت آنها در کشور مهیا نشده است؛ به عبارتی نیازمند وجود آزمایشگاههایی هستیم که کار آنها ارزیابی و تأیید امنیتی اپهای گوشیهای هوشمند باشد.
این طراح و راهبر راهکارهای امنیت اطلاعات و عملیات با این که دسترسیهای اپها در زمان نصب به کاربر نشان داده میشود، گفت: اگر کاربر آموزش دیده باشد، میتواند اجازه یا عدم اجازه دسترسیها را با توجه به کاربرد اپ تنظیم کند مثلاً من به شخصه دسترسیهای این تاکسیهای آنلاین را غیر فعال کردم ولی اپ همچنان کار میکند.
توکلی به کاربران توصیه کرد برای حفظ حریم خصوصی و اطلاعات در زمان نصب اپ به دسترسیهایی که اپ از آنها اجازه میگیرد، توجه داشته باشند و در عین حال از نصب اپها از منابع غیر قانونی اجتناب کرده و در گوشیهای خود ضد بدافزار نصب کنند.
یک کارشناس امنیت سایبری دیگر نیز با رد این موضوع که دسترسیهای اپلیکیشنهای مختلف از جمله تاکسیهای اینترنتی به سیستم عامل اندروید بازمیگردد، به «ایران» گفت: اگر اندروید بخواهد به این مقوله وارد شود، اصلاً معنای امنیت و حریم خصوصی از بین میرود. در واقع کسی که اپ را مینویسد، این دسترسیها را تعریف میکند که به عنوان مثال به گالری، مکان شخص، مخاطبان و… دسترسی داشته باشد. از نگاه این کارشناس، در واقع اندروید یک سیستم عامل و بستر است و کسی که برنامه مینویسد، روی این بستر، دسترسیها را مشخص میکند و کاربران هم میتوانند هنگام نصب به این اجازههای دسترسی جواب مثبت یا منفی بدهند.
وی البته اشاره کرد که گاه اگر این دسترسیها را کاربر نپذیرد، عملاً نمیتواند اپلیکیشن را نصب کند که در این صورت باید در مراحل بعد به عنوان مثال در گالری خود عکسهای مهم و خاص را ذخیره نکند تا مشکلی پیش نیاید. این کارشناس افزود: برای برنامههای پرکاربرد که در کشور مورد استفاده قرار میگیرد، حتماً باید سازمانهایی از جمله وزارت ارتباطات، اپاستورها (فروشگاههای توزیعکننده این برنامکها) که متولی این بحث هستند، نظارت بر موضوع داشته باشند ولی گاه این فروشگاهها چندان راغب نیستند به این حوزه ورود کنند چون میگویند مسئولیت به خود سازنده اپ بازمیگردد.
وی در پایان یادآور شد: این فیلم هشدار خوبی برای ۳ ذینفع یعنی کاربر، مسئولان نظارت بر این موضوع و نیز شرکتهای ارائه دهنده این سرویسهاست تا امکان هر مشکلی به حداقل برسد.
ضرورت حفظ حریم خصوصی
موضوع سوءاستفاده اپلیکیشنهای مختلف از کاربران موضوعی نیست که مختص ایران باشد و آن را میتوان یک دغدغه جهانی دانست. در همین راستا به تازگی خبری منتشر شد که نشان میداد بیشتر برنامههای اندرویدی بعد از نصب، از کاربران خود جاسوسی کرده و اطلاعات خصوصی آنها را بررسی میکنند. طبق این گزارش، بخش اعظم برنامههای اندرویدی حاوی ابزار ردگیری و کنترل فعالیتهای کاربران هستند. بنابراین نصب این برنامهها برای افراد تبعات امنیتی دارد. از نگاه محققان حاضر در این گزارش، هدف اصلی از این نوع جاسوسیها شناسایی سلایق و علایق کاربران به منظور ارسال تبلیغات و آگهیهای دیجیتال مرتبط برای هر فرد است.
بر اساس بررسی یادشده از هر چهار برنامه اندرویدی، سه برنامه به ابزار ردگیری و کنترل کاربران مجهز هستند و البته بیشتر مشتریان از این امر آگاه نیستند. گفتنی است که این مشکل حتی در برنامههای فروشگاه گوگلپلی نیز وجود دارد و برنامههایی مانند اسپاتیفای، اوبر، OKCupid و تیندر هم اطلاعات خصوصی کاربران را جمعآوری میکنند.
البته باید گفت که تاکسیهای آنلاین که خود بخشی از این اپلیکیشنها محسوب میشوند، برای رفع هرگونه شبههای تلاشهای متعددی داشتهاند. به عنوان مثال یکی از شرکتهای تاکسی آنلاین در راستای امنتر کردن سفرهای خود و ارج نهادن به حریم خصوصی کاربرانش (اعم از مسافر و راننده) از سیستم جدیدی به نام «پنهانسازی شماره تلفن» رونمایی کرده است که این قابلیت از شهر مشهد آغاز شده و در آیندهای نزدیک در سایر شهرهای محل فعالیت شرکت اجرایی میشود. نکته حائز اهمیت در خصوص مزیت پنهانسازی شماره تلفن در سفر با سرویسهای آنلاین این است که این امکان کمک شایانی به حفظ حریم خصوصی کاربران میکند و گام مهمی در جهت امنیت سفرهای درونشهری به شمار میرود.»