تجارت با اطلاعات خصوصی ملت!

به گزارش بخش اجتماعی سایت خبرمهم، وقتی شرکت «…» در اردیبهشت سال ۱۳۸۸ خورشیدی به عنوان شرکت ارائه‌دهنده خدمات پرداخت (PSP)، با اخذ مجوز از بانک مرکزی جمهوری اسلامی ایران تاسیس شد و تبلیغات معرفی آن در قالب انواع مسابقه‌های مهیّج در برنامه‌های پربازدید مانند برنامه فوتبالی «۹۰» که هر ثانیه آگهی بازرگانی در آن اعدادی نجومی را در بر می‌گرفت و عاید صداوسیما می‌کرد؛ هنوز روزهایی مانند امروز نیامده بود که به یکباره گوشی همراه خود را پس از دریافت یک نوتیفیکیشن به نیّت پیامی از یک دوست، واریز حقوق یا پیام عضو خانواده بگشایید، اما با این پیام و مانند آن مواجه شوید که «کاربر عزیز…؛ مهلت بیمه شخص ثالث شما در حال اتمام است.

با تمدید از… علاوه بر کسب درآمد، هدیه و جایزه بگیرید!» در این میان ظاهر امر مشکل خاصی به نظر نمی‌رسد و چه بسا برخی کاربران هم سپاسگزار باشند که یک اپلیکیشن نقش یادآوری‌کننده را برای آنها در مشغله‌های پرترافیک این روزگار فراهم ساخته است! اما نکته نگران‌کننده و قابل تامل ماجرا اینجاست که چگونه اپلیکیشن‌هایی که با استفاده از ظرفیت رسانه‌ای در مختصات رسانه ملی و با کلی ضمانت‌ها از جمله مجوز بانک مرکزی جمهوری اسلامی ایران به محتویات گوشی میلیون‌ها کاربر ایرانی دست یافته اند؟ ضمنا آیا این اطلاعات شامل داده‌های دیگر خصوصی افراد نصب‌کننده این قبیل اپلیکیشن‌ها نیز می‌شود!؟ و اگر چنین است چرا صادقانه آن را با مخاطبان خود در میان نمی‌گذارند تا در صورت رضایت مبادرت به این اقدام نمایند!؟ شاید در این رابطه خالی از لطف نباشد که تجربه مشابه و البته مختصری در سایر کشورها را مروری کنیم تا بتوانیم بیشتر به عمق اهمیت حفظ اطلاعات شخصی مردم استفاده‌کننده از فناوری‌های نوین پی ببریم.

به قصد ذخیره‌سازی بسیاری از اطلاعات خصوصی

چندی پیش پژوهشگران و محققان امنیتی دریافتند و اعلام کردند که ۱۳۲۵ اپلیکیشن اندرویدی بدون اجازه کاربران به اطلاعات شخصی و لوکیشن آنها دسترسی دارند. این کارشناسان که در موسسه علوم کامپیوتر بین‌المللی ICSI فعالیت می‌کنند، در ادامه این گزارش خاطرنشان کردند تمامی این شرکت‌های توسعه‌دهنده اپلیکیشن‌های مذکور که متاسفانه در پلتفرم گوگل پلی‌استور نیز وجود دارند، امکان دسترسی بدون اجازه به اطلاعات کاربران رد و تکذیب کرده‌اند و زیر بار مسئولیت دسترسی اطلاعات خصوصی کاربران نمی‌روند!

بر اساس گزارش وب سایت phonearena، این تحقیق که روی ۸۸ هزار اپلیکیشن اندرویدی صورت گرفته است، در نهایت منجر به اعلام ۱۳۲۵ اپلیکیشن شد که کد نویسی آن به گونه‌ای انجام شده که قادر است بسیاری از اطلاعات خصوصی کاربران از جمله تصاویر و اتصال به اینترنت وای فای آنها را ذخیره‌سازی کنند.

 چگونگی ارسال بدون اجازه اطلاعات شخصی شما از یک اپلیکیشن اندرویدی!

اینکه این فرآیند چگونه انجام می‌شود را با نگاهی به یک نمونه اپلیکیشن به نام CoolIris می‌توان برشمرد که گالری و آلبوم عکس مورد استفاده کاربران است. این گالری به تازگی راهی برای ذخیره نسخه کپی و رمزگذاری نشده نشانی‌های کامل پیدا کرده است که به صورت تئوری، از طریق بدافزارها و بدون دریافت اجازه نامه از کاربر می‌توانند منتقل شوند. این قضیه طی تحقیق فردی به نام «پاول بوردر» از گروه امنیتی لویاتان در زمینه مشکلات امنیتی سیستم عامل آندروید کشف شد. بوردر، اپلیکیشنی به نام «No Permissions» طراحی و ساخته است. این برنامه معایب سیستم اجازه نامه یا permissio- اندروید که منجر به دسترسی به اطلاعات شخصی کاربران بدون اجازه آنها می‌شود را مشخص می‌کند. به این ترتیب که اگر کاربر به برنامه‌ای اجازه دسترسی ندهد، خیالش راحت است که آن برنامه به اطلاعات شخصی‌اش دسترسی پیدا نمی‌کند. اما بورد فهرستی بلندبالا از اپلیکیشن‌ها تهیه کرده و نشان می‌دهد نرم‌افزارهای بسیاری هستند که بدون اجازه روی گوشی یا دستگاه اندرویدی نصب می‌شوند و روح کاربر هم از خطرناک بودن آنها خبردار نیست.

اگر از کاربران اندروید باشید، حتما می‌دانید که این سیستم عامل اپلیکیشن‌ها را درون «سندباکس» نگه می‌دارد و همه برنامه‌های دانلود شده را مجبور می‌کند تا برای داشتن اطلاعات شخصی کاربر همچون حسابهای اینترنتی، شماره‌های تماس تلفنی، موقعیت مکانی یا تماسهای گوشی، اجازه بگیرند. درون سندباکس بودن یا اصطلاحا سندباکسینگ، در واقع روشی برای افزایش امنیت کاربران است. در این روش، سیستم عامل اندروید میان نرم افزارهای موجود در گوشی و نسخه‌های دانلود شده، دیواری مجازی ایجاد می‌کند. به این ترتیب، اگر کابر بدون آگاهی بدافزاری را روی دستگاه خود دانلود کند، آن ویروس نمی‌تواند به بخش‌های دیگر دستگاه برود و از اطلاعات آن استفاده کند. در واقع ارتباط برنامه‌های دانلودی را با اپلیکیشن‌های دیگر دستگاه محدود و تقریبا قطع می‌کند.

گرفتن اجازه یا permissio- برای دسترسی به اطلاعات نیز شیوه اصلی اندروید برای مدیریت دانلودهایش است. به طور مثال، اگر یک بازی هنگام دانلود از شما اجازه دسترسی به دفترچه تلفن یا اطلاعات مخاطبین موجود در گوشی را خواست، می‌توانید تشخیص بدهید که اپلیکیشن مورد نظر، به احتمال زیاد یک بدافزار است، زیرا یک بازی به اطلاعات دفترچه تلفن گوشی نیازی ندارد.

نخستین موردی که در گزارش این محقق ذکر شده، امنیت فایل‌ها است. اپلیکیشن «No Permissions» قادراست حافظه داخلی دستگاه و حافظه‌هایSD جانبی آن را اسکن کند و در نتیجه فهرستی از فایلهای پنهان نشده را در اختیار کاربر قرار دهد. این فایل‌ها می‌توانند حاوی اطلاعات بسیار حساس از کاربر باشند. این نرم افزار همچنین فهرستی از اپلیکیشنها را در اختیار کاربر می‌گذارد که می‌توانند به بدافزارها بگوید کجا باید دنبال اطلاعات شخصی و کاربردی کاربر بگردد.

اپلیکیشن گالری عکس در گوشی کاربر نباید اطلاعات مکانی عکسهای خصوصی را رمزگشایی و ذخیره کند. دلیلی برای این کار وجود ندارد. همچین اطلاعات جغرافیایی عکسها همچون GPSها نیستند که ضریب خطا داشته باشند. ژئوتگ عکسها تا شماره پلاک خانه و اینکه در کدام محله، شهر یا کشور است را در خود نهان دارد و با رمزگشایی‌شان می‌توان به طور دقیق مکان گرفته شدن عکس را روی نقشه پیدا کرد. و اینها اطلاعاتی هستند که ما نمی‌خواهیم در اختیار گوگل، پیکاسا یا حتی خود گوشی موبایل قرار گیرند.

سجاد بیات، کارشناس فناوری بر این باور است که بیش از هزار اپلیکیشن اندرویدی شناسایی شده‌اند که حتی بعد از قطع دسترسی آن‌ها به اطلاعاتی مثل موقعیت تلفن همراه، باز هم اقدام به جمع‌آوری اطلاعات می‌کنند.

وی با بیان اینکه بررسی‌های کمیته تجارت فدرال آمریکا نشان داده است حفظ حریم خصوصی در حال حاضر کار بسیار دشواری خواهد بود می‌افزاید: «به‌خصوص اگر کاربر وابستگی زیادی به گوشی تلفن همراه و اپلیکیشن‌های روی آن داشته باشد. شرکت‌های فناوری اطلاعات شخصی میلیون‌ها کاربر، از جمله محل‌هایی که کاربر در آن‌ها حضور داشته، افرادی که با آن‌ها در ارتباط بوده و نوع علاقه‌مندی‌های او را جمع‌آوری می‌کنند.»

بیات با بیان اینکه وضعیت به‌گونه‌ای است که در تمام جهان نهادهای قانون‌گذاری دچار سردرگمی شده‌اند، دلیل آن را چنین تبیین می‌کند: «زیرا با توجه به قوانین مرتبط با حریم خصوصی، کاربر باید بتواند میزان اطلاعاتی که در اختیار یک اپلیکیشن قرار می‌دهد را مدیریت کند. البته اپل و گوگل اخیرا امکانات جدیدی معرفی کرده‌اند که به افزایش امنیت حریم خصوصی افراد کمک می‌کنند، اما به نظر می‌رسد اپلیکیشن‌ها راه‌های دور زدن این دیوارهای محافظتی را پیدا کرده‌اند.»

بروز شبهه پهن‌شدن دام برای کلاهبرداری‌

محمدحسین ساکت، حقوقدان، وکیل دادگستری، قاضی سابق دیوانعالی کشور و رئیس هیات مدیره انجمن حقوق‎شناسی در گفتگو با خبرنگار «آفتاب‌یزد» در خصوص تعاریف قانونی و حقوقی جهت ممانعت از اینگونه دسترسی‌ها و استفاده غیراخلاقی و حتی تجاری مانند آنچه اپلیکیشن «…» یا سایرین به آن مبادرت می‌وزند می‌گوید: متاسفانه این قبیل پیامک‌های خارج از انتظار نیز از جانب این اپلیکیشن‌ها به گوشی اینجانب نیز ارسال شده است و حتی گاهی تلفن زده می‌شود که واقعا منبع دسترسی آنها به این داده‌ها نامشخص است.

وی با مثال زدن از مواردی مانند یک شرکت بیمه که شما طرف قرارداد با آن شرکت هستید و از طریق رصد آرشیو یک هفته مانده به پایان قرارداد آن را به مخاطبان خود یادآوری می‌کنند، آن را طبیعی می‌داند اما تاکید می‌کند: در حالی که اگر از طریق دیگری مانند یک اپلیکیشن یا برنامه و ارگانی که شما بیمه آنجا نیستید، به کاربران گوشی‌های همراه پیامک و تلفن بزنند تعجب‌انگیز و نگران‌کننده است.

ساکت در پاسخ به این پرسش که آیا این دست اقدامات در قوانین حقوقی کشور ما جرم‌انگاری شده یا خیر، می‌افزاید: اگر محرز شود که اپلیکیشن دست یابنده به اطلاعات خصوصی شما یا شرکت تلفن‌کننده به مردم قصد کلاهبرداری داشته باشند، امکان تعقیب قضائی دارد چرا که صرف دعوت آنها به دلیل اینکه امکان عدم‌پذیرش آن توسط گیرنده پیام وجود دارد جرم نیست.

این حقوقدان صاحبنظر در کشورمان تنها نقطه نگرانی قابل درک در این موارد را، بروز شبهه پهن‌شدن دام برای کلاهبرداری‌ از طریق داده‌های تازه‌ای می‌داند که به دست آنها رسیده است. اما در زمان حاضر امکان وارد کردن اتهام به آنها با صرف یک پیامک مقدور و شدنی نیست.

این قاضی سابق دیوانعالی کشور با استقبال از این اقدام که پیگیر روشنگری مخاطبان در زمینه مخاطرات نصب اپلیکیشن‌ها و برنامه‌هایی است که در این زمینه پایبند تعهدات لازم نیستند اظهار می‌دارد: در واقع همین گزارش شما و پیگیری آن جهت تغییر یا به روز‌رسانی مقررات فعالیت این قبیل اپلیکیشن‌ها یا شرکت‌ها که چه بسا نیّت تخلف و مجرمانه‌ای هم ندارند، اما نبود قانون موجب بروز شبهه و نگرانی و تشویش اذهان نصب‌کنندگان آنها در گوشی همراه یا هر فرم ثبت نامی در یک اداره می‌شود موثر واقع شود. /آفتاب یزد