گزارشی تکاندهنده؛ آیا ایتا، روبیکا و بله امنیت اطلاعات کاربران را تضمین میکنند؟
گزارشی تازه نگرانیهای جدی درباره امنیت پیامرسانهای بومی ایران یعنی ایتا، روبیکا و بله ایجاد کرده است. در حالی که مدیران این پیامرسانها همواره از ایمنی و رمزنگاری پیشرفته پیامها سخن گفتهاند، یک تحقیق مستقل نشان میدهد کاربران این پلتفرمها ممکن است با ریسکهای بزرگی در زمینه حریم خصوصی مواجه شوند.
از زمان راهاندازی پیامرسانهای داخلی در ایران، بحث درباره امنیت اطلاعات و حریم خصوصی کاربران همواره داغ بوده است. هک اطلاعات، حذف این برنامهها از فروشگاههای خارجی و اظهارات کارشناسان درباره ناامنی این پلتفرمها، سالهاست که نگرانی کاربران را برانگیخته است. با وجود این، مدیران پیامرسانها ادعا کردهاند که این انتقادات بیشتر از سر تخریب صورت میگیرد.
اما گزارش جدیدی که از سوی آزمایشگاه امنیتی صندوق فناوری باز (OTF) منتشر شده، ارزیابیهایی دقیق درباره سه پیامرسان ایتا، روبیکا و بله ارائه داده که نشان میدهد این برنامهها فاقد ویژگیهای امنیتی لازم هستند. در این گزارش تأکید شده که هیچکدام از این پیامرسانها از رمزنگاری سرتاسر (E2EE) استفاده نمیکنند، موضوعی که پایه اصلی ایمنی ارتباطات در بسیاری از پیامرسانهای معتبر جهانی است.
ضعفهای امنیتی ایتا، روبیکا و بله
در این گزارش، مراحل بررسی امنیت این سه پیامرسان در دو فاز انجام شده است. فاز اول شامل تحلیل کدهای برنامه و مهندسی معکوس بود که در دسامبر ۲۰۲۳ انجام شد و فاز دوم در اکتبر ۲۰۲۴ با تحلیل پویا، رفتار این برنامهها در زمان اجرا را بررسی کرد. نتایج این ارزیابیها نشان داد:
ایتا: پیامهای پیشنویس کاربران به سرورها ارسال میشود و در صورتی که مهاجمی به دستگاه فیزیکی کاربر دسترسی پیدا کند، امکان استخراج دادهها وجود دارد.
روبیکا: ترافیک رمزگذارینشده در این برنامه مشاهده شد که میتواند اطلاعات حساسی مانند رمز عبور را در معرض خطر قرار دهد.
بله: این برنامه دادههای مکانی کاربران را به سرور ارسال میکند و از نوعی رمزنگاری استفاده میشود که به راحتی قابل شکستن است.
ارتباط پیامرسانها با تلگرام و پروتکلهای ناایمن
بررسیها نشان داد که ایتا و روبیکا بر پایه کد منبع یکی از نسخههای تلگرام ساخته شدهاند، برخلاف ادعاهای مدیران این دو پلتفرم که مدعی بودند این برنامهها بهطور کامل توسط تیمهای داخلی توسعه داده شدهاند. همچنین، پروتکل MXB که برای اتصال متقابل پیامرسانهای داخلی معرفی شده، امکان خواندن پیامها را فراهم میکند، در حالی که این پروتکل به عنوان امن معرفی شده بود.
عیسی زارعپور، وزیر پیشین ارتباطات، هنگام رونمایی از این پروتکل تأکید کرده بود که پیامها بهصورت سرتاسری رمزنگاری میشوند. اما نتایج این بررسی خلاف این ادعا را نشان داد.
نگرانی کاربران و واکنشها
انتشار این گزارش موجی از نگرانی را میان کاربران ایجاد کرده است. برخی کارشناسان هشدار دادهاند که حتی پس از حذف این برنامهها از گوشی، امکان نظارت بر اطلاعات کاربران وجود دارد. با این حال، وحید فرید، کارشناس فناوری اطلاعات، تأکید کرده که این نگرانیها بیمورد است و در صورتی که برنامه حذف شود، دیگر نمیتواند به اطلاعات گوشی دسترسی داشته باشد.
سکوت مدیران پیامرسانها
روزنامه «شرق» تلاش کرد با مدیران ایتا، روبیکا و بله تماس بگیرد، اما پاسخی دریافت نکرد. تنها پیامرسان بله بهصورت کلی گزارشها را رد کرد و تأکید کرد که اطلاعات کاربران این برنامه در شرایط امن نگهداری میشود.
راهکارهایی برای کاربران
در نهایت، کارشناسان پیشنهاد میکنند کاربرانی که مجبور به استفاده از این پیامرسانها هستند، از انتقال اطلاعات حساس و مهم خود از طریق این برنامهها خودداری کنند تا از بروز مشکلات احتمالی جلوگیری شود.
