به گزارش بخش اجتماعی سایت خبرمهم، وقتی شرکت «…» در اردیبهشت سال ۱۳۸۸ خورشیدی به عنوان شرکت ارائهدهنده خدمات پرداخت (PSP)، با اخذ مجوز از بانک مرکزی جمهوری اسلامی ایران تاسیس شد و تبلیغات معرفی آن در قالب انواع مسابقههای مهیّج در برنامههای پربازدید مانند برنامه فوتبالی «۹۰» که هر ثانیه آگهی بازرگانی در آن اعدادی نجومی را در بر میگرفت و عاید صداوسیما میکرد؛ هنوز روزهایی مانند امروز نیامده بود که به یکباره گوشی همراه خود را پس از دریافت یک نوتیفیکیشن به نیّت پیامی از یک دوست، واریز حقوق یا پیام عضو خانواده بگشایید، اما با این پیام و مانند آن مواجه شوید که «کاربر عزیز…؛ مهلت بیمه شخص ثالث شما در حال اتمام است.
با تمدید از… علاوه بر کسب درآمد، هدیه و جایزه بگیرید!» در این میان ظاهر امر مشکل خاصی به نظر نمیرسد و چه بسا برخی کاربران هم سپاسگزار باشند که یک اپلیکیشن نقش یادآوریکننده را برای آنها در مشغلههای پرترافیک این روزگار فراهم ساخته است! اما نکته نگرانکننده و قابل تامل ماجرا اینجاست که چگونه اپلیکیشنهایی که با استفاده از ظرفیت رسانهای در مختصات رسانه ملی و با کلی ضمانتها از جمله مجوز بانک مرکزی جمهوری اسلامی ایران به محتویات گوشی میلیونها کاربر ایرانی دست یافته اند؟ ضمنا آیا این اطلاعات شامل دادههای دیگر خصوصی افراد نصبکننده این قبیل اپلیکیشنها نیز میشود!؟ و اگر چنین است چرا صادقانه آن را با مخاطبان خود در میان نمیگذارند تا در صورت رضایت مبادرت به این اقدام نمایند!؟ شاید در این رابطه خالی از لطف نباشد که تجربه مشابه و البته مختصری در سایر کشورها را مروری کنیم تا بتوانیم بیشتر به عمق اهمیت حفظ اطلاعات شخصی مردم استفادهکننده از فناوریهای نوین پی ببریم.
به قصد ذخیرهسازی بسیاری از اطلاعات خصوصی
چندی پیش پژوهشگران و محققان امنیتی دریافتند و اعلام کردند که ۱۳۲۵ اپلیکیشن اندرویدی بدون اجازه کاربران به اطلاعات شخصی و لوکیشن آنها دسترسی دارند. این کارشناسان که در موسسه علوم کامپیوتر بینالمللی ICSI فعالیت میکنند، در ادامه این گزارش خاطرنشان کردند تمامی این شرکتهای توسعهدهنده اپلیکیشنهای مذکور که متاسفانه در پلتفرم گوگل پلیاستور نیز وجود دارند، امکان دسترسی بدون اجازه به اطلاعات کاربران رد و تکذیب کردهاند و زیر بار مسئولیت دسترسی اطلاعات خصوصی کاربران نمیروند!
بر اساس گزارش وب سایت phonearena، این تحقیق که روی ۸۸ هزار اپلیکیشن اندرویدی صورت گرفته است، در نهایت منجر به اعلام ۱۳۲۵ اپلیکیشن شد که کد نویسی آن به گونهای انجام شده که قادر است بسیاری از اطلاعات خصوصی کاربران از جمله تصاویر و اتصال به اینترنت وای فای آنها را ذخیرهسازی کنند.
چگونگی ارسال بدون اجازه اطلاعات شخصی شما از یک اپلیکیشن اندرویدی!
اینکه این فرآیند چگونه انجام میشود را با نگاهی به یک نمونه اپلیکیشن به نام CoolIris میتوان برشمرد که گالری و آلبوم عکس مورد استفاده کاربران است. این گالری به تازگی راهی برای ذخیره نسخه کپی و رمزگذاری نشده نشانیهای کامل پیدا کرده است که به صورت تئوری، از طریق بدافزارها و بدون دریافت اجازه نامه از کاربر میتوانند منتقل شوند. این قضیه طی تحقیق فردی به نام «پاول بوردر» از گروه امنیتی لویاتان در زمینه مشکلات امنیتی سیستم عامل آندروید کشف شد. بوردر، اپلیکیشنی به نام «No Permissions» طراحی و ساخته است. این برنامه معایب سیستم اجازه نامه یا permissio- اندروید که منجر به دسترسی به اطلاعات شخصی کاربران بدون اجازه آنها میشود را مشخص میکند. به این ترتیب که اگر کاربر به برنامهای اجازه دسترسی ندهد، خیالش راحت است که آن برنامه به اطلاعات شخصیاش دسترسی پیدا نمیکند. اما بورد فهرستی بلندبالا از اپلیکیشنها تهیه کرده و نشان میدهد نرمافزارهای بسیاری هستند که بدون اجازه روی گوشی یا دستگاه اندرویدی نصب میشوند و روح کاربر هم از خطرناک بودن آنها خبردار نیست.
اگر از کاربران اندروید باشید، حتما میدانید که این سیستم عامل اپلیکیشنها را درون «سندباکس» نگه میدارد و همه برنامههای دانلود شده را مجبور میکند تا برای داشتن اطلاعات شخصی کاربر همچون حسابهای اینترنتی، شمارههای تماس تلفنی، موقعیت مکانی یا تماسهای گوشی، اجازه بگیرند. درون سندباکس بودن یا اصطلاحا سندباکسینگ، در واقع روشی برای افزایش امنیت کاربران است. در این روش، سیستم عامل اندروید میان نرم افزارهای موجود در گوشی و نسخههای دانلود شده، دیواری مجازی ایجاد میکند. به این ترتیب، اگر کابر بدون آگاهی بدافزاری را روی دستگاه خود دانلود کند، آن ویروس نمیتواند به بخشهای دیگر دستگاه برود و از اطلاعات آن استفاده کند. در واقع ارتباط برنامههای دانلودی را با اپلیکیشنهای دیگر دستگاه محدود و تقریبا قطع میکند.
گرفتن اجازه یا permissio- برای دسترسی به اطلاعات نیز شیوه اصلی اندروید برای مدیریت دانلودهایش است. به طور مثال، اگر یک بازی هنگام دانلود از شما اجازه دسترسی به دفترچه تلفن یا اطلاعات مخاطبین موجود در گوشی را خواست، میتوانید تشخیص بدهید که اپلیکیشن مورد نظر، به احتمال زیاد یک بدافزار است، زیرا یک بازی به اطلاعات دفترچه تلفن گوشی نیازی ندارد.
نخستین موردی که در گزارش این محقق ذکر شده، امنیت فایلها است. اپلیکیشن «No Permissions» قادراست حافظه داخلی دستگاه و حافظههایSD جانبی آن را اسکن کند و در نتیجه فهرستی از فایلهای پنهان نشده را در اختیار کاربر قرار دهد. این فایلها میتوانند حاوی اطلاعات بسیار حساس از کاربر باشند. این نرم افزار همچنین فهرستی از اپلیکیشنها را در اختیار کاربر میگذارد که میتوانند به بدافزارها بگوید کجا باید دنبال اطلاعات شخصی و کاربردی کاربر بگردد.
اپلیکیشن گالری عکس در گوشی کاربر نباید اطلاعات مکانی عکسهای خصوصی را رمزگشایی و ذخیره کند. دلیلی برای این کار وجود ندارد. همچین اطلاعات جغرافیایی عکسها همچون GPSها نیستند که ضریب خطا داشته باشند. ژئوتگ عکسها تا شماره پلاک خانه و اینکه در کدام محله، شهر یا کشور است را در خود نهان دارد و با رمزگشاییشان میتوان به طور دقیق مکان گرفته شدن عکس را روی نقشه پیدا کرد. و اینها اطلاعاتی هستند که ما نمیخواهیم در اختیار گوگل، پیکاسا یا حتی خود گوشی موبایل قرار گیرند.
سجاد بیات، کارشناس فناوری بر این باور است که بیش از هزار اپلیکیشن اندرویدی شناسایی شدهاند که حتی بعد از قطع دسترسی آنها به اطلاعاتی مثل موقعیت تلفن همراه، باز هم اقدام به جمعآوری اطلاعات میکنند.
وی با بیان اینکه بررسیهای کمیته تجارت فدرال آمریکا نشان داده است حفظ حریم خصوصی در حال حاضر کار بسیار دشواری خواهد بود میافزاید: «بهخصوص اگر کاربر وابستگی زیادی به گوشی تلفن همراه و اپلیکیشنهای روی آن داشته باشد. شرکتهای فناوری اطلاعات شخصی میلیونها کاربر، از جمله محلهایی که کاربر در آنها حضور داشته، افرادی که با آنها در ارتباط بوده و نوع علاقهمندیهای او را جمعآوری میکنند.»
بیات با بیان اینکه وضعیت بهگونهای است که در تمام جهان نهادهای قانونگذاری دچار سردرگمی شدهاند، دلیل آن را چنین تبیین میکند: «زیرا با توجه به قوانین مرتبط با حریم خصوصی، کاربر باید بتواند میزان اطلاعاتی که در اختیار یک اپلیکیشن قرار میدهد را مدیریت کند. البته اپل و گوگل اخیرا امکانات جدیدی معرفی کردهاند که به افزایش امنیت حریم خصوصی افراد کمک میکنند، اما به نظر میرسد اپلیکیشنها راههای دور زدن این دیوارهای محافظتی را پیدا کردهاند.»
بروز شبهه پهنشدن دام برای کلاهبرداری
محمدحسین ساکت، حقوقدان، وکیل دادگستری، قاضی سابق دیوانعالی کشور و رئیس هیات مدیره انجمن حقوقشناسی در گفتگو با خبرنگار «آفتابیزد» در خصوص تعاریف قانونی و حقوقی جهت ممانعت از اینگونه دسترسیها و استفاده غیراخلاقی و حتی تجاری مانند آنچه اپلیکیشن «…» یا سایرین به آن مبادرت میوزند میگوید: متاسفانه این قبیل پیامکهای خارج از انتظار نیز از جانب این اپلیکیشنها به گوشی اینجانب نیز ارسال شده است و حتی گاهی تلفن زده میشود که واقعا منبع دسترسی آنها به این دادهها نامشخص است.
وی با مثال زدن از مواردی مانند یک شرکت بیمه که شما طرف قرارداد با آن شرکت هستید و از طریق رصد آرشیو یک هفته مانده به پایان قرارداد آن را به مخاطبان خود یادآوری میکنند، آن را طبیعی میداند اما تاکید میکند: در حالی که اگر از طریق دیگری مانند یک اپلیکیشن یا برنامه و ارگانی که شما بیمه آنجا نیستید، به کاربران گوشیهای همراه پیامک و تلفن بزنند تعجبانگیز و نگرانکننده است.
ساکت در پاسخ به این پرسش که آیا این دست اقدامات در قوانین حقوقی کشور ما جرمانگاری شده یا خیر، میافزاید: اگر محرز شود که اپلیکیشن دست یابنده به اطلاعات خصوصی شما یا شرکت تلفنکننده به مردم قصد کلاهبرداری داشته باشند، امکان تعقیب قضائی دارد چرا که صرف دعوت آنها به دلیل اینکه امکان عدمپذیرش آن توسط گیرنده پیام وجود دارد جرم نیست.
این حقوقدان صاحبنظر در کشورمان تنها نقطه نگرانی قابل درک در این موارد را، بروز شبهه پهنشدن دام برای کلاهبرداری از طریق دادههای تازهای میداند که به دست آنها رسیده است. اما در زمان حاضر امکان وارد کردن اتهام به آنها با صرف یک پیامک مقدور و شدنی نیست.
این قاضی سابق دیوانعالی کشور با استقبال از این اقدام که پیگیر روشنگری مخاطبان در زمینه مخاطرات نصب اپلیکیشنها و برنامههایی است که در این زمینه پایبند تعهدات لازم نیستند اظهار میدارد: در واقع همین گزارش شما و پیگیری آن جهت تغییر یا به روزرسانی مقررات فعالیت این قبیل اپلیکیشنها یا شرکتها که چه بسا نیّت تخلف و مجرمانهای هم ندارند، اما نبود قانون موجب بروز شبهه و نگرانی و تشویش اذهان نصبکنندگان آنها در گوشی همراه یا هر فرم ثبت نامی در یک اداره میشود موثر واقع شود. /آفتاب یزد