آیا تاکسی آنلاینها از کاربران خود جاسوسی میکنند؟
با انتشار فیلمی در فضای مجازی و دست به دست شدن آن درشبکههای اجتماعی، بار دیگر موضوع حفظ حریم خصوصی در کانون توجه قرار گرفت؛ فیلمی که ادعا میشود روایتگر آن یک هکر است که نسبت به دسترسیهای بیش از اندازه یکی از اپلیکیشن تاکسیهای آنلاین به بخشهای مختلف تلفن هوشمند کاربران انتقاد دارد.
به گزارش اقتصادآنلاین به نقل از ایران، در این فیلم عنوان شده است در حالی که دو اپلیکیشن تاکسی آنلاین، دسترسیهایی معقول بهکاربران خود دارند ولی یک تاکسی آنلاین با ایجاد دسترسیهایی غیرضروری میتواند گالری، لیست مخاطبان، کارت حافظه و حافظه داخلی گوشی هوشمند کاربر را در اختیار بگیرد. در پی انتشار این فیلم این روزنامه سراغ فعالان تاکسیهای آنلاین و همچنین کارشناسان امنیت سایبری در مرکز ماهر و... رفته و نظر آنان را درباره این فیلم ومیزان دسترسی اپلیکیشن تاکسیهای آنلاین به حریم خصوصی کاربران جویا شده است.
فیلمی غلط با تفسیری نادرست
فیلم منتشر شده در فضای مجازی، در حالی برخی کاربران را نگران کرده است که «محمد تسلیمی» یکی از کارشناسان امنیت مرکز ماهر(مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، معتقد است این فیلم تفسیر نادرستی از لحاظ فنی ارائه داده است و محتوا و اظهارنظرهای غلط زیادی در آن دیده میشود. از نگاه وی، حتی میتوان این فیلم را مغرضانه دانست چون شخصی که بهعنوان هکر معرفی شده، تنها با مقایسهای ساده با اپلیکیشنهای دیگر میتوانست متوجه شود که هر اپ برای کارکرد خود، به چه میزان دسترسی از سیستم عامل نیاز دارد و البته مشابه این دسترسیها را در بیشتر اپلیکیشنهای دیگر هم میتوان دید. تسلیمی میافزاید: فردی که این فیلم را ارائه داده، اطلاعات فنی دقیقی روی این موضوع نداشته است.
وی یادآور شد که در این فیلم، برخی گزینهها به اشتباه تفسیر شده بهعنوان مثال درخصوص مکان(location) در فیلم با اشاره به 2 آیتم، عنوان شد که در یک مورد حتی اگر اپلیکیشن، بسته هم باشد سرور میتواند مکان کاربر را پیدا کند. باید گفت که این تفسیر کاملاً اشتباه است و درواقع این دو آیتم، دسترسی به مکان تقریبی و آیتم دسترسی به مکان دقیق است که از دو منبع مختلف تأمین میشود. بهعنوان مثال یکی از این لوکیشنها ازطریق «جی پی اس» خود گوشی و دیگری از لوکیشن سرویس گوگل ارائه میشود و درواقع اطلاعات تکمیلی میدهد که هر اپلیکیشنی که بخواهد لوکیشن دقیق به شما بدهد مجبور است از هر دوی این سرویسها استفاده کند.
این کارشناس امنیت مرکز ماهر درباره دسترسی اپلیکیشن به حافظه داخلی یا جانبی نیز با اشاره به اینکه مرکز ماهر در این زمینه بررسی دقیقی انجام نداده است گفت: هرچند ما هنوز دلیل این دسترسی را نمیدانیم و باید مطالعه شود ولی باید گفت که نیاز به چنین مجوزی، موضوع عجیب و غیررایجی برای اپها نیست. به هرحال هرکدام از دسترسیهای اپ تاکسیهای آنلاین، کاربردی ویژه دارد و توجیه دقیقتر برای وجود آن را باید خود شرکت تولیدکننده ارائه دهد.
تسلیمی با اشاره به اینکه توسعهدهنده نرمافزار معمولاً دسترسیها را در مراحل مختلف کار ممکن است کم و زیاد کند گفت: نمیتوان تنها به صرف وجود یک دسترسی اضافه، قضاوت کرد که این شرکت درحال سوءاستفاده است. در مواردی حتی ممکن است در کدنویسی، اشتباهی رخ داده باشد که این موضوع با یک تذکر و اطلاعرسانی حل میشود.
وی البته در پاسخ به سؤال درباره متولی این امر اظهار داشت: هنوز متولی مشخصی در این زمینه وجود ندارد و به طور مستقیم وظیفه ما نیست ولی اگر مرکز ماهر به موردی برخورد و صحتش را تأیید کند حتماً تذکر میدهد. تسلیمی البته افزود: مرکز ماهر و سازمان فناوری اطلاعات با مستندات مرجع، الزاماتی را برای مارکتهایی که این اپها را توزیع میکنند، تهیه و تدوین کرده و در این زمینه، جلساتی هم با این تیمها و شرکتها برگزار و دستورالعملها ابلاغ شده است که این موارد نیز جزو فرآیند ارزیابیهایی محسوب میشود که این توزیعکنندگان باید روی اپهایشان انجام دهند هرچند پیش از این نیزخود شرکتها، سیاستهایی در فرآیندهای امنیتی داشتند. این کارشناس امنیت اطلاعات همچنین عنوان کرد که برای کاربران هیچ جای نگرانی نیست و فکر نمیکنم هیچ نقض حریم خصوصی صورت گرفته باشد، حتی در نگاه اولیه این دسترسیها را غیرطبیعی نمیدانم ولی بررسیهایی دقیقتر انجام خواهد شد. وی در پایان از کاربران خواست هرگونه اپلیکیشنی را فقط از مراکز مجاز و مارکتهای شناخته شده، دانلود کنند و هرگز سراغ سی دی، فلش، کانالهای تلگرام و... نروند. تسلیمی همچنین یادآور شد که کاربران باید به موضوع آپدیت و به روزرسانی اپلیکیشنها نیز توجه کافی داشته باشند.
امکان غیرفعالسازی دسترسیها
مدیر روابط عمومی یکی از تاکسیهای آنلاین که با انتشار این فیلم متهم شده است در پاسخ به این اتهام گفت: سامانه هوشمند حملونقل ما فقط اطلاعات مربوط به حساب کاربر (از جمله شماره تلفن، آدرس ایمیل و مشخصات هر سفر) را ذخیره میکند و در نسخه اندروید مسافر هم سه نوع دسترسی به موقعیت مکانی، فون و حساب کاربری دیده میشود. وی در توضیح این دسترسیها نیز اظهار داشت: دسترسی به موقعیت مکانی (Location) برای تعیین دقیق مبدأ مسافر مورد استفاده قرار میگیرد و مسافر هم بعد از تعیین مبدأ خود میتواند موقعیتیاب دستگاهش را خاموش کند. دسترسی به فون(Phone) هم برای راحت کردن عملیات شارژ حساب کاربری از طریق کدهای USSD استفاده میشود. به گفته وی، دسترسی به حساب کاربری (Contacts) برای ذخیره استاندارد اطلاعات حساب در گوشی کاربران به کار میرود.
مدیر روابط عمومی این تاکسی آنلاین در ادامه با بیان اینکه گوگل از اندروید ۶بهبعد، امکان فعال یا غیرفعال کردن دسترسیهای هر اپلیکیشن را در اختیار کاربرانش قرار داده است، گفت: بنابراین فعال یا غیرفعالسازی دسترسیهای اپلیکیشن، بهطور مستقیم از سوی کاربران صورت میگیرد و ما دخالتی در آن نداریم. هر سه مورد این دسترسی، اختیاری بوده و برای راحتتر کردن کار با اپلیکیشن مربوطه است و کاربران با غیر فعال کردن آنها همچنان میتوانند از اپلیکیشن ما استفاده کنند. وی ادامه داد: اپلیکیشن تاکسی آنلاین ما بههیچ عنوان به حافظه داخلی، گالری، لیست مخاطبها، شماره تلفنها، اطلاعات حساس و سایر اپلیکیشنهای گوشی مسافران خود دسترسی ندارد و تنها برخی از اطلاعات سفر کاربران در دیتاسنترهای امن و به صورت کاملاً محرمانه ذخیرهسازی میشود. این اطلاعات نیز طبقهبندیشده و فوقمحرمانه هستند و دسترسی لایه لایه به آنها وجود دارد.
این مدیر روابط عمومی همچنین یادآور شد که بزودی در نسخه جدید نرمافزار مسافران این امکان ارائه میشود که دسترسی به تاریخچه سفر کاربران تنها از طریق رمز عبوری (Pin Code) که خودشان در اپ تعریف میکنند امکانپذیر باشد.
مقابله نادرست کسب وکار سنتی با آنلاین
به دنبال انتشار این فیلم، علیرضا رمضانی مدیر روابط عمومی یکی دیگر از تاکسیهای آنلاین گفت: نرمافزار ما بهلحاظ فنی به اطلاعات کاربران دسترسی ندارد و درحقیقت میتوان گفت این سیستم عامل اندروید است که دسترسیهای کلی را در گوشیهای هوشمند خود قرار داده است و اپلیکیشنها میتوانند دسترسیهای خود را محدودتر از آنچه هست، بکنند. شرکت ما نیز دسترسی به اطلاعات را بسیار محدود کرده و درواقع به حداقل اطلاعات مورد نیاز کاربران و رانندگان دسترسی دارد به طوری که با نبود این اطلاعات، بخش فنی دچار اختلال میشود. وی ادامه داد: تاکسی آنلاین ما تنها از بخش دسترسی به لوکیشنها استفاده میکند بنابراین بههیچ وجه به حریم شخصی و خصوصی کاربران دسترسی ندارد.
مدیر روابط عمومی این شرکت تاکسی آنلاین با بیان اینکه انتشار چنین فیلمهایی صرفاً برای ایجاد اختلال در روند فعالیت کسب و کارهای نوین است، گفت: از زمانی که کسب و کارهای آنلاین و تکنولوژیهای جدید وارد بازار شدهاند، کسب و کارهای سنتی، آنها را رقیب خود میدانند و احساس خطر میکنند. به هرحال وقتی تکنولوژی وارد کسب و کار میشود تغییر بازار کار غیرممکن است و این طبیعت تکنولوژی است. رمضانی افزود: درباره تاکسیهای آنلاین نیز همین اتفاق افتاده است از وقتی تکنولوژی وارد کار حمل و نقل داخل شهری شده است نه تنها هزینهها را کاهش داده است بلکه سیستم را نیز بهینه کرده و اشتغالزایی را بهدنبال داشته است ولی این موضوع به مذاق خیلیها خوش نیامده و برخی به کارشکنی میپردازند.
ضرورت وجود آزمایشگاههای ارزیابی
درباره انتشار این فیلم سراغ یکی دیگر از کارشناسان امنیت سایبری رفتیم. «امید توکلی» طراح و راهبر راهکارهای امنیت اطلاعات و عملیات نیز در این باره گفت: فیلمی که منتشر شده است با دسترسیهایی که در نسخه فعلی این تاکسی آنلاین وجود دارد، متفاوت است. از اینرو به نظر میرسد این کلیپ روی نسخههای قدیمیتر آن تهیه شده است. وی ادامه داد: قبلاً این اپلیکیشن دسترسیهای بیشتری روی گوشیها تعریف کرده بود که در نسخه فعلی و بهروزرسانی شده، دیگر وجود ندارد. توکلی افزود: اکنون دسترسی به فایلها وجود ندارد، ولی اگر فرض کنیم کاربران یا رانندهها نیاز دارند که عکس پروفایل آنها روی اپلیکیشن آپلود شود، باید اپ دسترسی به مدیا و فایلها وجود داشته باشد ولی این لزوماً به معنای جاسوسی اپ از فایلهای کاربر نیست.
وی در ادامه گفت: عملاً برنامه نویس اپ، دسترسیهای مورد نیاز اپ را تعریف کرده و از اندروید میگیرد. نکته بسیار مهم این است که به سازوکار ارزیابی و بررسی دسترسیها و آسیبپذیریهای اپهای پرکاربرد نیز نیاز داریم ولی متأسفانه هنوز زیرساخت آنها در کشور مهیا نشده است، به عبارتی نیازمند وجود آزمایشگاههایی هستیم که کار آنها ارزیابی و تأیید امنیتی اپهای گوشیهای هوشمند باشد.
این طراح و راهبر راهکارهای امنیت اطلاعات و عملیات با اینکه دسترسیهای اپها در زمان نصب به کاربر نشان داده میشود، گفت: اگر کاربر آموزش دیده باشد، میتواند اجازه یا عدم اجازه دسترسیها را با توجه به کاربرد اپ تنظیم کند مثلاً من به شخصه دسترسیهای این تاکسیهای آنلاین را غیرفعال کردم، ولی اپ همچنان کار میکند. توکلی به کاربران توصیه کرد برای حفظ حریم خصوصی و اطلاعات در زمان نصب اپ به دسترسیهایی که اپ از آنها اجازه میگیرد توجه داشته باشند و در عین حال از نصب اپها از منابع غیرقانونی اجتناب کرده و در گوشیهای خود ضد بدافزار نصب کنند.
یک کارشناس امنیت سایبری دیگر نیز با رد این موضوع که دسترسیهای اپلیکیشنهای مختلف ازجمله تاکسیهای اینترنتی به سیستم عامل اندروید بازمیگردد گفت: اگر اندروید بخواهد به این مقوله وارد شود اصلاً معنای امنیت و حریم خصوصی از بین میرود. درواقع کسی که اپ را مینویسد این دسترسیها را تعریف میکند که بهعنوان مثال به گالری، مکان شخص، مخاطبان و... دسترسی داشته باشد. از نگاه این کارشناس، درواقع اندروید یک سیستم عامل و بستر است و کسی که برنامه مینویسد روی این بستر، دسترسیها را مشخص میکند و کاربران هم میتوانند هنگام نصب به این اجازههای دسترسی جواب مثبت یا منفی بدهند.
وی البته اشاره کرد که گاه اگر این دسترسیها را کاربر نپذیرد عملاً نمیتواند اپلیکیشن را نصب کند که در این صورت باید در مراحل بعد بهعنوان مثال در گالری خود عکسهای مهم و خاص را ذخیره نکند تا مشکلی پیش نیاید. این کارشناس افزود: برای برنامههای پرکاربرد که در کشور مورد استفاده قرار میگیرد حتماً باید سازمانهایی ازجمله وزارت ارتباطات، اپ استورها(فروشگاههای توزیعکننده این برنامکها) که متولی این بحث هستند نظارت بر موضوع داشته باشند ولی گاه این فروشگاهها چندان راغب نیستند به این حوزه ورود کنند چون میگویند مسئولیت به خود سازنده اپ بازمیگردد. وی در پایان یادآور شد: این فیلم هشدار خوبی برای 3 ذینفع یعنی کاربر، مسئولان نظارت بر این موضوع و نیز شرکتهای ارائه دهنده این سرویسهاست تا امکان هر مشکلی به حداقل برسد.
ضرورت حفظ حریم خصوصی
موضوع سوءاستفاده اپلیکیشنهای مختلف از کاربران، موضوعی نیست که مختص ایران باشد وآن را میتوان یک دغدغه جهانی دانست. در همین راستا بهتازگی خبری منتشر شد که نشان میداد بیشتر برنامههای اندرویدی بعد از نصب، از کاربران خود جاسوسی کرده و اطلاعات خصوصی آنها را بررسی میکنند. طبق این گزارش، بخش اعظم برنامههای اندرویدی حاوی ابزار ردگیری و کنترل فعالیتهای کاربران هستند. بنابراین نصب این برنامهها برای افراد تبعات امنیتی دارد. از نگاه محققان حاضر در این گزارش، هدف اصلی از این نوع جاسوسیها شناسایی سلایق و علایق کاربران بهمنظور ارسال تبلیغات و آگهیهای دیجیتال مرتبط برای هر فرد است.
براساس بررسی یادشده از هر چهار برنامه اندرویدی، سه برنامه به ابزار ردگیری و کنترل کاربران مجهز هستند و البته بیشتر مشتریان از این امر آگاه نیستند. گفتنی است که این مشکل حتی در برنامههای فروشگاه گوگل پلی نیز وجود دارد و برنامههایی مانند اسپاتیفای، اوبر، OKCupid و تیندر هم اطلاعات خصوصی کاربران را جمعآوری میکنند.
البته باید گفت که تاکسیهای آنلاین که خود بخشی از این اپلیکیشنها محسوب میشوند برای رفع هرگونه شبههای تلاشهای متعددی داشتهاند. بهعنوان مثال یکی از شرکتهای تاکسی آنلاین در راستای امنتر کردن سفرهای خود و ارج نهادن به حریم خصوصی کاربرانش (اعم از مسافر و راننده) از سیستم جدیدی به نام «پنهانسازی شماره تلفن» رونمایی کرده است که این قابلیت از شهر مشهد آغاز شده و در آیندهای نزدیک در سایر شهرهای محل فعالیت شرکت اجرایی میشود. نکته حائز اهمیت در خصوص مزیت پنهانسازی شماره تلفن در سفر با سرویسهای آنلاین این است که این امکان کمک شایانی به حفظ حریم خصوصی کاربران میکند و گام مهمی در جهت امنیت سفرهای درونشهری به شمار میرود.