ITanalyze

نادر نینوایی - هفته گذشته برگی دیگر از بی‌قانونی کسب‌وکارهای اینترنتی ورق خورد و مثل همیشه دود آن به چشم مردم رفت.

روزی این کسب‌وکارها بدون مجوز پا در هر عرصه‌ای می‌گذارند و انبوهی از چالش‌های اقتصادی، امنیتی، اجتماعی و فرهنگی ایجاد می‌کنند. روز دیگر خبر تعرض به مردم بر اثر بی‌توجهی و بی‌مسوولیتی آنها منتشر می‌شود و یک روز خبر رواج منکرات در یک اپلیکیشن دیگر می‌رسد. روزی خبر گران‌فروشی آنها منتشر می‌شود و حالا خبر از دسترسی نامحدود برخی از این کسب‌وکارهای نوپا که در قالب اپلیکیشن فعالیت می‌کنند به حریم خصوصی مردم، موجبات نگرانی‌های جدیدی را به بار آورده است.

وجه اشتراک تمام این مسایل، مجوز مسوولان و نهادهای متولی در این عرصه است. این مجوز در واقع با سکوت آنها صادر شده و در حال حاضر شاهد برخورد و بازخواست جدی و نتیجه‌دار در هیچ‌کدام از تخلفات نبوده‌ایم.

برخی مسوولان اما پوشش و نقشی آزاردهنده برای خود ایجاد کرده‌اند و صرفا خود را مسوول تضمین درآمدزایی کسب‌وکارهای اینترنتی می‌دانند تا فردا در کارنامه عملکرد خود آن را به رخ رقبای سیاسی بکشند. این قبیل مسوولان اصولا کاری به نقش خود در زمینه‌سازی وقوع برخی مشکلات و جرایم ندارند و وقتی هم با پرسش‌هایی در این خصوص مواجه می‌شوند، آدرس پلیس و دادگاه را می‌دهند که وظیفه برخورد با تخلف به عهده آنهاست.

حال آنکه بستر و سرچشمه وقوع تخلفات از سوی این مسوولان فراهم شده است؛ آن‌هم از طریق بی‌قانونی، سکوت، انتقاد از منتقدان و جلوگیری از اجرای اقدامات قانونی.

** اگر این موضوع را به شائبه رانت برخی کسب‌وکارهای شناخته‌شده اینترنتی در ایران اضافه کنید، صورت‌مساله تا حدودی روشن می‌شود و اینجاست که متوجه می‌شوید چرا انتقادها تنها در سطح رسانه‌ها باقی می‌ماند و هیچ خدشه‌ای به درآمدزایی ایشان وارد نشده و نمی‌شود.**

نگرانی جدید چیست؟

یکی از مسایل نگران‌کننده در خصوص بخش بزرگی از اپلیکیشن‌های ایرانی، دسترسی‌های خارج از عرف و بیش از میزان مورد نیاز برای نصب و استفاده از این برنامه‌ها است. برای مثال، برای یک اپلیکیشن ماشین‌حساب نیازی به دسترسی به گالری گوشی هوشمند کاربر نیست، اما برخی برنامه‌نویسان ایرانی چنین دسترسی‌هایی را طلب می‌کنند. با توجه به اینکه برای نصب برنامه ناچار باید شرایط برنامه‌نویس پذیرفته شود، کاربران ایرانی نیز دانسته یا نادانسته تن به پذیرش این قرارداد ترکمنچای داده و برای استفاده از برنامه، اجازه دسترسی کامل به حافظه موبایلشان را می‌دهند. البته آن‌طور که یک برنامه‌نویس به خبرنگار ما گفته، در سیستم‌عامل‌های iOS این دسترسی‌ها به‌صورت اتوماتیک محدود می‌شود و در سیستم‌عامل اندروید نیز گاه می‌توان با برداشتن برخی تیک‌ها کمی میزان دسترسی‌ها را محدود کرد. با این وجود در خصوص برخی برنامه‌ها دسترسی‌ها به‌گونه‌ای تعریف شده که امکان برداشتن تیک هم وجود ندارد.

در هفته‌های اخیر موضوع دسترسی‌های نامتعارف اپلیکیشن‌های ایرانی تحت تاثیر اقدامات یک اپلیکیشن تاکسی‌یاب شکل جدی‌تری به خود گرفت که رسیدگی به آن وظیفه رسانه‌ها نبوده و مسوولان متولی باید چاره‌ای بیندیشند.

ماجرا از جایی آغاز شد که یک اپ تاکسی اینترنتی که در سایه فعالیت نکردن نمونه‌های خارجی رشد قابل توجهی داشته است، از کاربرانش خواسته بود نسخه جدید را دانلود کنند و به محض دانلود نسخه جدید تغییراتی روی گوشی آنها ایجاد شده که از آن پس استفاده از یک نرم‌افزار مسیریاب خارجی حتی با فیلترشکن برای آنها ناممکن شده است؛ موضوعی که شائبه دسترسی این اپلیکیشن به محتوای داخلی گوشی دارندگان آن را ایجاد کرد.

چیزی از این اتفاق نگذشته بود که انتشار فیلمی در سطح فضای مجازی در خصوص میزان دسترسی‌هایی که اپ‌های تاکسی‌یاب می‌خواهند، مشخص کرد که اپلیکیشن تاکسی‌اینترنتی مذکور دسترسی‌های بی‌جهت و بیش از نیاز خود را می‌خواهد. این دسترسی‌ها شامل دسترسی به پیامک‌ها، دسترسی به سایر اپ‌های گوشی و درصورتی که حساب ایمیل یا تلگرام و سایر پیام‌رسان‌های موبایلی آنها فعال باشد، می‌شد و دسترسی به تمام این موارد وجود داشت.

توجیهی به نام اجازه داریم

در پاسخ به این اقدام نگران‌کننده، مالکان این تاکسی ‌اینترنتی می‌گویند مجوز گرفته‌ایم که به محتویات گوشی کاربران دسترسی داشته باشیم و با همین توجیه ساده دسترسی خود به موقعیت، فهرست مخاطبان، حافظه جانبی و حافظه تلفن همراه کاربران را در اختیار گرفته‌اند. یکی از تاکسی‌های اینترنتی فعال در کشور که سرمایه‌گذار خارجی دارد، در حالی تمام این دسترسی‌ها را از کاربران خود می‌خواهد که از آی‌پی‌های بین‌المللی استفاده کرده و اطلاعات آن به جای اینترانت و در شبکه داخلی کشور در اینترنت که فضای بین‌المللی و با نظارت بسیار محدودتری است قرار دارد. استفاده از نقشه گوگل نیز باعث می‌شود که تمام جا‌به‌جایی‌های کاربران ایرانی در طول روز مشخص بوده و یک نسخه آن در اختیار گوگل نیز قرار بگیرد.

علاوه بر این، به گفته یک کارشناس فضای مجازی، برخی از اپلیکیشن‌های ایرانی یا سیستم رمز‌نگاری ندارند یا اگر دارند سیستم رمز‌نگاری‌شان خارجی است؛ به این معنا که همه داده‌ها می‌توانند به‌صورت پنهان و بدون اینکه کاربر متوجه شود به‌صورت رمز در‌آیند و از گوشی خارج شوند و به خارج از کشور بروند. برای نمونه، اجازه دسترسی به گالری می‌تواند تمامی عکس‌های موجود در گوشی تلفن همراه شما را بدون اینکه متوجه شوید به‌صورت رمز بیاورد و منتقل کند. همین مساله درباره دفترچه تلفن گوشی تلفن همراه و دسترسی به شماره تلفن‌های موجود در آن هم وجود دارد.

قوانین چه می‌گوید؟

باید توجه داشت که موضوع اپلیکیشن‌های موبایلی موضوعی به نسبت جدید محسوب می‌شود و با توجه به سرعت پایین سیستم قانون‌گذاری در کشور، نباید انتظار داشت که به این زودی‌ها قانون تخصصی برای این اپ‌ها وضع شده و به‌اجرا گذاشته شود. با این وجود اما قوانین پیشین و قانون اساسی چارچوب‌‌های اصلی حریم‌خصوصی را مشخص کرده و طبیعتا برنامه‌نویسان و ارایه‌کنندگان اپلیکیشن‌های موبایلی نیز باید آن را مورد توجه قرار دهند.

در ماده۴ قانون آیین‌دادرسی‌کیفری مصوب سال۱۳۹۲ به‌صراحت گفته شده: «اصل، برائت است. هرگونه اقدام محدودکننده، سالب آزادی و ورود به حریم خصوصی اشخاص جز به حکم قانون و با رعایت مقررات و تحت نظارت مقام قضایی مجاز نیست.»

به این ترتیب باید گفت این فقط قانون است که با رعایت ضوابط و مقررات ویژه و آن هم با نظارت مقام قضایی می‌تواند به حریم شخصی افراد ورود کند. این در حالی است که دسترسی‌های نامتعارف و بی‌جهت اپلیکیشن‌های ایرانی در عمل موجب شده تا امکان ورود به حریم شخصی افراد فراهم شود.

جالب است بدانید که حریم خصوصی در نگاه قانون‌گذار چنان اهمیتی دارد که حتی مقامات قضایی را جز به حکم قانون، مجاز به ورود در حریم شخصی متهم نمی‌داند.

آن‌طور که در برخی از گزارش‌ها آمده، شرکت «اپل» به‌دلیل آنکه بعضی از نرم‌افزارهای ایرانی حریم خصوصی افراد را نادیده می‌گرفتند، آنها را از فهرست دانلودهای «اپ‌استور» حذف کرده است. مدیران اپل اعتقاد داشتند دسترسی بعضی از اپلیکیشن‌ها به اپ‌‌های بانک‌های ایرانی محل شبهه است. این موضوع نشان می‌دهد که حتی فروشگاه‌های اپلیکیشن خارجی برای حفظ حریم خصوصی کاربران خود اهمیت بالایی قائل‌ بوده و حاضر نیستند آن را حتی به قیمت ریزش مخاطبان خود نادیده بگیرند.

به گفته کارشناسان، راه‌حلی که اکنون در کشورهای توسعه‌یافته برای جلوگیری از سوءاستفاده سرویس‌دهندگان اپلیکیشن‌ها مورد استفاده بوده، این است که پیش از فروش هر نرم‌افزاری آن نرم‌افزار به ثبت می‌رسد و پس از ثبت، تمام اطلاعات آن در اختیار مردم قرار می‌گیرد.

با این رویه، ارایه‌دهندگان اپ‌های موبایلی ملزم می‌شوند که متن برنامه‌هایش را باز بگذارند که همه افراد آنها را مشاهده کرده و اپ‌ها از فضایی که قابل مشاهده است، اجرا شود.

نرم‌افزار پیام‌رسان تلگرام با وجود تمام انتقادهایی که در خصوص آن مطرح می‌شود، این کار را انجام داده و تمام دیتاهایش پیش روی مردم است. اگر این شفاف‌سازی در خصوص تمام اپ‌های ایرانی ایجاد شود، به‌راحتی افراد متخصص عملکرد نرم‌افزار را بررسی کرده و نتیجه را از طریق رسانه‌ها در اختیار عموم مردم قرار می‌دهند.

«لطفا» به جای «قانون»!

در حال حاضر هیچ قانون مشخصی برای چارچوب فعالیت اپ‌های موبایلی و مشخص شدن میزان دسترسی‌های مجاز آنها وجود ندارد. نکته قابل توجه آنکه سازمان فناوری اطلاعات وزارت ارتباطات نیز به جای رفتن به سمت الزامات قانونی، به‌تازگی ترجیح داده یک توصیه‌نامه غیرالزام‌آور منتشر کرده و رعایت آن را به عهده فروشگاه‌های داخلی عرضه اپلیکیشن گذاشته است.

معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات گفته که به‌دلیل گستره وسیع تولید و استفاده از نرم‌افزارهای کاربردی تلفن همراه، توصیه‌های ارتقای امنیت برای توزیع‌کنندگان برنامه‌های سامانه‌های هوشمند تهیه کرده و برای بهره‌برداری در اختیار صاحبان این کسب‌وکارها قرار داده است.

بر اساس اعلام سازمان فناوری اطلاعات، برای این منظور، مطالعاتی در این سازمان انجام گرفته و پس از نشست مشترک با مدیران کسب‌وکارهای مرتبط در حوزه توزیع و انتشار برنامه‌های کاربردی موبایلی و اخذ نظر مشورتی و دیدگاه‌ها و دغدغه‌های آنها، نخستین بسته توصیه‌های امنیتی مربوط به این حوزه تهیه و نهایی شده است.

معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات، یکی از مشکلاتی را که از سوی صاحبان کسب‌وکارها برای اجرایی شدن این توصیه‌نامه مطرح می‌شود، نداشتن تجهیزات آزمایشگاهی عنوان کرده و گفته است: مقرر شد تا زمان تامین و تکمیل شدن آزمایشگاه‌های مربوط به هریک از توزیع‌کنندگان محتوا، مرکز ماهر با درنظر گرفتن اولویت‌هایی مانند اهمیت برنامه و تعداد مخاطبان، ارزیابی‌های لازم را انجام داده و در صورت وجود مخاطرات احتمالی، مراتب به تولیدکننده و توزیع‌کنندگان برنامه به‌صورت مستقیم اطلاع داده شود. توصیه‌نامه مذکور در سه بخش تهدیدهای توزیع برنامه‌ها، توصیه‌های امنیتی برای رفع این تهدیدها و استانداردهای فنی دنیا برای امن‌سازی برنامه‌های کاربردی موبایلی منتشر شده است.

اما همان‌طور که ذکر شد، این موارد توصیه‌هایی غیرالزام‌آور محسوب می‌شوند.

نگرانی‌های امنیتی

نکته اینجاست که برخی از این اپلیکیشن‌ها مشخص نیست که چرا چنین دسترسی‌های گسترده‌ای را طلب می‌کنند. پس از دسترسی به این موارد با اطلاعات مردم چه می‌کنند و چه تضمینی برای اینکه خود هک نشده و زمینه‌ساز لو رفتن اطلاعات مردم نشوند، وجود دارد.

نباید فراموش کرد که بسیاری از اپ‌نویس‌های ایرانی سن بسیار پایینی داشته و به هر روی این احتمال وجود دارد که از روی کنجکاوی و شیطنت هم که شده برخی از اطلاعات شخصی کاربران را ببینند. فراموش نکنیم که حتی با فرض اینکه تمام اپ‌نویسان کاملا اخلاق‌مدار باشند، باز هم درخواست دسترسی‌های غیرمتعارف به اطلاعات گوشی‌های مردم غیرقابل توجیه است.

یکی از نگرانی‌های موجود این است که با هک شدن اکانت مدیریت هر یک از این اپ‌ها با توجه به امکان دسترسی به اطلاعات کاربران، تمام اطلاعات کاربران در اختیار هکر قرار می‌گیرد.

**فراموش نکنید که هک سایت دوست‌یابی اشلی مدیسون و انتشار اطلاعات کاربران آن توسط هکر حتی موجب خودکشی چند نفر از کسانی که اطلاعات آنها افشا شده بود، شد. پس وقتی چنین اتفاقی برای یکی از بزرگ‌ترین سایت‌های دوست‌یابی آمریکا و جهان که از طریق سیستم‌های امنیتی بسیار باکیفیت محافظت می‌شود می‌افتد، چندان دور از ذهن نیست که این اتفاق برای اپلیکیشن‌های ایرانی هم افتاده و هک آنها فاجعه‌ای مشابه را رقم بزند.**

به این نکته نیز باید توجه داشت که برخی از اپ‌های فعال در کشور از جمله یک اپلیکیشن پرطرفدار تاکسی اینترنتی که در ایران فعال است، سرمایه‌گذاران خارجی دارند و در نتیجه امکان دسترسی به اطلاعات کاربران ایرانی برای آنها نیز وجود خواهد داشت.

یک اپ‌نویس جوان که اپلیکیشن طراحی‌شده توسط وی در حال حاضر روی گوشی 5/1 میلیون نفر نصب شده است، به خبرنگار ما می‌گوید: اپلیکیشن ما در حوزه طراحی عکس است و به همین منظور یکی از دسترسی‌ها به بخش گالری گوشی (جایی که عکس‌ها و فیلم‌ها ذخیره می‌شود) در واقع اجتناب‌ناپذیر است. اما موضوع اینجاست که دسترسی به گالری در واقع دسترسی ما به کل File Manager گوشی (تمام فایل‌های روی گوشی) را امکان‌پذیر می‌کند.

**وی در پاسخ به اینکه از این طریق آیا امکان مشاهده و انتقال عکس‌ها و فیلم‌های مردم از طریق گوشی تلفن همراه آنها را دارید یا نه؟ می‌گوید: بله، چنین امکانی وجود دارد و می‌توانیم از طریق برنامه و یک کد دستوری که مثلا تمام فایل‌های .jpg یا .mov (تمام عکس‌ها و فیلم‌های کاربران) را در زمانی که آنلاین می‌شوند، به سرورهای خود منتقل کنیم و به آنها دسترسی داشته باشیم.**

توصیه‌هایی به مردم

از آنجا که همچون موارد متعدد دیگر انتظار اقدام و برخوردی نداریم، حداقل توصیه‌هایی به خودمان یعنی مردم و کاربرانی ایرانی ارایه می‌دهیم.

همیشه باید توجه داشته باشید که هر اپلیکیشنی دسترسی‌های ویژه خود را از شما طلب می‌کند که البته ممکن است صادر کردن اجازه این دسترسی‌ها به بهای از دست رفتن حریم شخصی‌تان تمام شود. در زمان نصب هر اپلیکیشن به شما توضیح داده می‌شود که شما با نصب این اپ اجازه چه دسترسی‌هایی را به برنامه می‌دهید. اگر از اندروید 7 به بالا استفاده می‌کنید، می‌توانید در صورت غیر‌مربوط بودن دسترسی خواسته‌شده با موضوع اپ، این دسترسی‌ها را محدود کنید. اما اگر برنامه اجازه محدود کردن این دسترسی را به شما نمی‌دهد و اعلام می‌کند که باید به تمام دسترسی‌هایش اجازه فعال شدن بدهید، بهتر است کلا قید نصبش را بزنید.

فراموش نکنید که همواره دسترسی‌های خواسته‌شده توسط برنامه باید مرتبط با خدمتی که ارایه می‌دهد باشد. برای مثال، دسترسی به گالری عکس اگرچه برای یک اپلیکیشن ارایه‌دهنده خدمات گرافیکی می‌تواند لازم باشد، اما به‌هیچ‌وجه برای یک اپ تاکسی‌یاب کاربرد ندارد؛ همان‌طور که دسترسی به موقعیت فرد هم هیچ ارتباطی با موضوع فعالیت یک اپلیکیشن گرافیکی ندارد.

پس اگر برنامه‌ای از شما دسترسی نامرتبط با موضوع فعالیتش را می‌خواست یا با برداشتن تیک مربوطه این درخواست را محدود کنید یا به‌کل ریسک نکرده و آن را نصب نکنید؛ چون در صورت افشای اطلاعات و تصاویر خصوصی شما در فضای مجازی، امکان پیدا کردن عامل رخنه در گوشی کار ساده‌ای نیست.   

از تمامی این توصیه‌ها مهم‌تر، این است که منتظر قانون و مقررات و مسایلی از این دست نمانده و به‌هیچ‌وجه عکس‌ها، ویدیوها و محتوای خصوصی و باارزش روی گوشی و کامپیوتر ذخیره و نگهداری نکنید. فراموش نکنید هر ابزاری که به اینترنت متصل می‌شود، همه نوع امکانی برای انتقال اطلاعات و مشاهده شما را دارد؛ از تلویزیون‌های هوشمند گرفته که رسما اعلام شد صدا و تصویر شما را به سرورهای خود منتقل می‌کنند تا گوشی و کامپیوتر. (منبع:عصرارتباط)