پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
آیا تاکسیهای آنلاین وارد حریم خصوصی کاربران میشوند؟
میترا جلیلی و سوسن صادقی؛ روزنامه ایران / با انتشار فیلمی در فضای مجازی و دستبهدست شدن آن در شبکههای اجتماعی، بار دیگر موضوع حفظ حریم خصوصی در کانون توجه قرار گرفت؛ فیلمی که ادعا میشود روایتگر آن یک هکر است که نسبت به دسترسیهای بیشازاندازه یکی از اپلیکیشنهای تاکسیهای آنلاین به بخشهای مختلف تلفن هوشمند کاربران انتقاد دارد. در این فیلم عنوان شده است درحالیکه دو اپلیکیشن تاکسی آنلاین، دسترسیهایی معقول به کاربران خود دارند ولی یک تاکسی آنلاین با ایجاد دسترسیهایی غیرضروری میتواند گالری، لیست مخاطبان، کارت حافظه و حافظه داخلی گوشی هوشمند کاربر را در اختیار بگیرد. در پی انتشار این فیلم روزنامه ایران سراغ فعالان تاکسیهای آنلاین و همچنین کارشناسان امنیت سایبری در مرکز ماهر و… رفته و نظر آنان را درباره این فیلم و میزان دسترسی اپلیکیشن تاکسیهای آنلاین به حریم خصوصی کاربران جویا شده است.
فیلمی غلط با تفسیری نادرست
فیلم منتشر شده در فضای مجازی، در حالی برخی کاربران را نگران کرده است که «محمد تسلیمی» یکی از کارشناسان امنیت مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، معتقد است این فیلم تفسیر نادرستی از لحاظ فنی ارائه داده است و محتوا و اظهارنظرهای غلط زیادی در آن دیده میشود. از نگاه وی، حتی میتوان این فیلم را مغرضانه دانست چون شخصی که بهعنوان هکر معرفی شده، تنها با مقایسهای ساده با اپلیکیشنهای دیگر میتوانست متوجه شود که هر اپ برای کارکرد خود، به چه میزان دسترسی از سیستم عامل نیاز دارد و البته مشابه این دسترسیها را در بیشتر اپلیکیشنهای دیگر هم میتوان دید. تسلیمی میافزاید: فردی که این فیلم را ارائه داده، اطلاعات فنی دقیقی روی این موضوع نداشته است.
وی یادآور شد که در این فیلم، برخی گزینهها به اشتباه تفسیر شده بهعنوان مثال درخصوص مکان (location) در فیلم با اشاره به 2 آیتم، عنوان شد که در یک مورد حتی اگر اپلیکیشن، بسته هم باشد سرور میتواند مکان کاربر را پیدا کند. باید گفت که این تفسیر کاملاً اشتباه است و درواقع این دو آیتم، دسترسی به مکان تقریبی و آیتم دسترسی به مکان دقیق است که از دو منبع مختلف تأمین میشود. بهعنوان مثال یکی از این لوکیشنها ازطریق «جیپیاس» خود گوشی و دیگری از لوکیشن سرویس گوگل ارائه میشود و درواقع اطلاعات تکمیلی میدهد که هر اپلیکیشنی که بخواهد لوکیشن دقیق به شما بدهد مجبور است از هردوی این سرویسها استفاده کند.
این کارشناس امنیت مرکز ماهر درباره دسترسی اپلیکیشن به حافظه داخلی یا جانبی نیز با اشاره به اینکه مرکز ماهر در این زمینه بررسی دقیقی انجام نداده است گفت: هرچند ما هنوز دلیل این دسترسی را نمیدانیم و باید مطالعه شود ولی باید گفت که نیاز به چنین مجوزی، موضوع عجیب و غیر رایجی برای اپها نیست. به هرحال هرکدام از دسترسیهای اپ تاکسیهای آنلاین، کاربردی ویژه دارد و توجیه دقیقتر برای وجود آن را باید خود شرکت تولیدکننده ارائه دهد.
تسلیمی با اشاره به اینکه توسعهدهنده نرمافزار معمولاً دسترسیها را در مراحل مختلف کار ممکن است کم و زیاد کند به «ایران» گفت: «نمیتوان تنها به صرف وجود یک دسترسی اضافه، قضاوت کرد که این شرکت درحال سوءاستفاده است. در مواردی حتی ممکن است در کد نویسی، اشتباهی رخ داده باشد که این موضوع با یک تذکر و اطلاعرسانی حل میشود.»
او البته در پاسخ به سؤال روزنامه ایران درباره متولی این امر اظهار داشت: «هنوز متولی مشخصی در این زمینه وجود ندارد و بهطور مستقیم وظیفه ما نیست ولی اگر مرکز ماهر به موردی برخورد و صحتش را تأیید کند حتماً تذکر میدهد. تسلیمی البته افزود: مرکز ماهر و سازمان فناوری اطلاعات با مستندات مرجع، الزاماتی را برای مارکتهایی که این اپها را توزیع میکنند، تهیه و تدوین کرده و در این زمینه، جلساتی هم با این تیمها و شرکتها برگزار و دستورالعملها ابلاغ شده است که این موارد نیز جزو فرآیند ارزیابیهایی محسوب میشود که این توزیعکنندگان باید روی اپهایشان انجام دهند هرچند پیش از این نیزخود شرکتها، سیاستهایی در فرآیندهای امنیتی داشتند.»
این کارشناس امنیت اطلاعات همچنین عنوان کرد: «برای کاربران هیچ جای نگرانی نیست و فکر نمیکنم هیچ نقض حریم خصوصی صورت گرفته باشد، حتی در نگاه اولیه این دسترسیها را غیرطبیعی نمیدانم ولی بررسیهایی دقیقتر انجام خواهد شد. وی در پایان از کاربران خواست هرگونه اپلیکیشنی را فقط از مراکز مجاز و مارکتهای شناخته شده، دانلود کنند و هرگز سراغ سی دی، فلش، کانالهای تلگرام و… نروند. تسلیمی همچنین یادآور شد که کاربران باید به موضوع آپدیت و بهروزرسانی اپلیکیشنها نیز توجه کافی داشته باشند.»
امکان غیرفعالسازی دسترسیها
مدیر روابط عمومی یکی از تاکسیهای آنلاین که با انتشار این فیلم متهم شده است در پاسخ به این اتهام گفت: «سامانه هوشمند حملونقل ما فقط اطلاعات مربوط به حساب کاربر (از جمله شماره تلفن، آدرس ایمیل و مشخصات هر سفر) را ذخیره میکند و در نسخه اندروید مسافر هم سه نوع دسترسی به موقعیت مکانی، فون و حساب کاربری دیده میشود.»
او در توضیح این دسترسیها نیز اظهار داشت: «دسترسی به موقعیت مکانی (Location) برای تعیین دقیق مبدأ مسافر مورد استفاده قرار میگیرد و مسافر هم بعد از تعیین مبدأ خود میتواند موقعیتیاب دستگاهش را خاموش کند. دسترسی به فون (Phone) هم برای راحت کردن عملیات شارژ حساب کاربری از طریق کدهای USSD استفاده میشود.»
به گفته او، دسترسی به حساب کاربری (Contacts) برای ذخیره استاندارد اطلاعات حساب در گوشی کاربران به کار میرود.
مدیر روابط عمومی این تاکسی آنلاین در ادامه با بیان اینکه گوگل از اندروید ۶ بهبعد، امکان فعال یا غیرفعال کردن دسترسیهای هر اپلیکیشن را در اختیار کاربرانش قرار داده است، گفت: «بنابراین فعال یا غیرفعالسازی دسترسیهای اپلیکیشن، بهطور مستقیم از سوی کاربران صورت میگیرد و ما دخالتی در آن نداریم. هر سه مورد این دسترسی، اختیاری بوده و برای راحتتر کردن کار با اپلیکیشن مربوطه است و کاربران با غیر فعال کردن آنها همچنان میتوانند از اپلیکیشن ما استفاده کنند.»
اوادامه داد: «اپلیکیشن تاکسی آنلاین ما بههیچ عنوان به حافظه داخلی، گالری، لیست مخاطبها، شماره تلفنها، اطلاعات حساس و سایر اپلیکیشنهای گوشی مسافران خود دسترسی ندارد و تنها برخی از اطلاعات سفر کاربران در دیتاسنترهای امن و به صورت کاملاً محرمانه ذخیرهسازی میشود. این اطلاعات نیز طبقهبندیشده و فوقمحرمانه هستند و دسترسی لایه لایه به آنها وجود دارد.»
این مدیر روابط عمومی همچنین یادآور شد که بهزودی در نسخه جدید نرمافزار مسافران این امکان ارائه میشود که دسترسی به تاریخچه سفر کاربران تنها از طریق رمز عبوری (Pin Code) که خودشان در اپ تعریف میکنند امکانپذیر باشد.
مقابله نادرست کسبوکار سنتی با آنلاین
به دنبال انتشار این فیلم، علیرضا رمضانی مدیر روابط عمومی یکی دیگر از تاکسیهای آنلاین به «ایران» گفت: «نرمافزار ما بهلحاظ فنی به اطلاعات کاربران دسترسی ندارد و درحقیقت میتوان گفت این سیستم عامل اندروید است که دسترسیهای کلی را در گوشیهای هوشمند خود قرار داده است و اپلیکیشنها میتوانند دسترسیهای خود را محدودتر از آنچه هست، بکنند. شرکت ما نیز دسترسی به اطلاعات را بسیار محدود کرده و درواقع به حداقل اطلاعات مورد نیاز کاربران و رانندگان دسترسی دارد به طوری که با نبود این اطلاعات، بخش فنی دچار اختلال میشود.»
او ادامه داد: «تاکسی آنلاین ما تنها از بخش دسترسی به لوکیشنها استفاده میکند بنابراین بههیچ وجه به حریم شخصی و خصوصی کاربران دسترسی ندارد.»
مدیر روابط عمومی این شرکت تاکسی آنلاین با بیان اینکه انتشار چنین فیلمهایی صرفاً برای ایجاد اختلال در روند فعالیت کسبوکارهای نوین است، گفت: «از زمانی که کسبوکارهای آنلاین و تکنولوژیهای جدید وارد بازار شدهاند، کسبوکارهای سنتی، آنها را رقیب خود میدانند و احساس خطر میکنند. به هرحال وقتی تکنولوژی وارد کسبوکار میشود تغییر بازار کار غیرممکن است و این طبیعت تکنولوژی است.»
رمضانی افزود: «درباره تاکسیهای آنلاین نیز همین اتفاق افتاده است از وقتی تکنولوژی وارد کار حملونقل داخل شهری شده است نهتنها هزینهها را کاهش داده است بلکه سیستم را نیز بهینه کرده و اشتغالزایی را به دنبال داشته است ولی این موضوع به مذاق خیلیها خوش نیامده و برخی به کارشکنی میپردازند.»
ضرورت وجود آزمایشگاههای ارزیابی
درباره انتشار این فیلم سراغ یکی دیگر از کارشناسان امنیت سایبری رفتیم. «امید توکلی» طراح و راهبر راهکارهای امنیت اطلاعات و عملیات نیز در این باره گفت: «فیلمی که منتشر شده است با دسترسیهایی که در نسخه فعلی این تاکسی آنلاین وجود دارد، متفاوت است. از اینرو به نظر میرسد این کلیپ روی نسخههای قدیمیتر آن تهیه شده است.
او ادامه داد: «قبلاً این اپلیکیشن دسترسیهای بیشتری روی گوشیها تعریف کرده بود که در نسخه فعلی و بهروزرسانی شده، دیگر وجود ندارد. توکلی افزود: اکنون دسترسی به فایلها وجود ندارد، ولی اگر فرض کنیم کاربران یا رانندهها نیاز دارند که عکس پروفایل آنها روی اپلیکیشن آپلود شود، باید اپ دسترسی به مدیا و فایلها وجود داشته باشد ولی این لزوماً به معنای جاسوسی اپ از فایلهای کاربر نیست.»
اودر ادامه گفت: «عملاً برنامهنویس اپ، دسترسیهای مورد نیاز اپ را تعریف کرده و از اندروید میگیرد. نکته بسیار مهم این است که به سازوکار ارزیابی و بررسی دسترسیها و آسیبپذیریهای اپهای پرکاربرد نیز نیاز داریم ولی متأسفانه هنوز زیرساخت آنها در کشور مهیا نشده است، به عبارتی نیازمند وجود آزمایشگاههایی هستیم که کار آنها ارزیابی و تأیید امنیتی اپهای گوشیهای هوشمند باشد.»
این طراح و راهبر راهکارهای امنیت اطلاعات و عملیات با اینکه دسترسیهای اپها در زمان نصب به کاربر نشان داده میشود، گفت: «اگر کاربر آموزش دیده باشد، میتواند اجازه یا عدم اجازه دسترسیها را با توجه به کاربرد اپ تنظیم کند مثلاً من به شخصه دسترسیهای این تاکسیهای آنلاین را غیرفعال کردم، ولی اپ همچنان کار میکند.»
توکلی به کاربران توصیه کرد برای حفظ حریم خصوصی و اطلاعات در زمان نصب اپ به دسترسیهایی که اپ از آنها اجازه میگیرد توجه داشته باشند و در عین حال از نصب اپها از منابع غیرقانونی اجتناب کرده و در گوشیهای خود ضد بدافزار نصب کنند.
یک کارشناس امنیت سایبری دیگر نیز با رد این موضوع که دسترسیهای اپلیکیشنهای مختلف ازجمله تاکسیهای اینترنتی به سیستم عامل اندروید بازمیگردد به «ایران» گفت: «اگر اندروید بخواهد به این مقوله وارد شود اصلاً معنای امنیت و حریم خصوصی از بین میرود. درواقع کسی که اپ را مینویسد این دسترسیها را تعریف میکند که بهعنوان مثال به گالری، مکان شخص، مخاطبان و… دسترسی داشته باشد.»
از نگاه این کارشناس، درواقع اندروید یک سیستم عامل و بستر است و کسی که برنامه مینویسد روی این بستر، دسترسیها را مشخص میکند و کاربران هم میتوانند هنگام نصب به این اجازههای دسترسی جواب مثبت یا منفی بدهند.
او البته اشاره کرد که گاه اگر این دسترسیها را کاربر نپذیرد عملاً نمیتواند اپلیکیشن را نصب کند که در این صورت باید در مراحل بعد بهعنوان مثال در گالری خود عکسهای مهم و خاص را ذخیره نکند تا مشکلی پیش نیاید. این کارشناس افزود: «برای برنامههای پرکاربرد که در کشور مورد استفاده قرار میگیرد حتماً باید سازمانهایی ازجمله وزارت ارتباطات، اپاستورها (فروشگاههای توزیعکننده این برنامکها) که متولی این بحث هستند نظارت بر موضوع داشته باشند ولی گاه این فروشگاهها چندان راغب نیستند به این حوزه ورود کنند چون میگویند مسئولیت به خود سازنده اپ بازمیگردد.»
او در پایان یادآور شد: «این فیلم هشدار خوبی برای 3 ذینفع یعنی کاربر، مسئولان نظارت بر این موضوع و نیز شرکتهای ارائهدهنده این سرویسهاست تا امکان هر مشکلی به حداقل برسد.»
ضرورت حفظ حریم خصوصی
موضوع سوءاستفاده اپلیکیشنهای مختلف از کاربران، موضوعی نیست که مختص ایران باشد و آن را میتوان یک دغدغه جهانی دانست. در همین راستا بهتازگی خبری منتشر شد که نشان میداد بیشتر برنامههای اندرویدی بعد از نصب، از کاربران خود جاسوسی کرده و اطلاعات خصوصی آنها را بررسی میکنند. طبق این گزارش، بخش اعظم برنامههای اندرویدی حاوی ابزار ردگیری و کنترل فعالیتهای کاربران هستند؛ بنابراین نصب این برنامهها برای افراد تبعات امنیتی دارد. از نگاه محققان حاضر در این گزارش، هدف اصلی از این نوع جاسوسیها شناسایی سلایق و علایق کاربران بهمنظور ارسال تبلیغات و آگهیهای دیجیتال مرتبط برای هر فرد است.
براساس بررسی یادشده از هر چهار برنامه اندرویدی، سه برنامه به ابزار ردگیری و کنترل کاربران مجهز هستند و البته بیشتر مشتریان از این امر آگاه نیستند. گفتنی است که این مشکل حتی در برنامههای فروشگاه گوگل پلی نیز وجود دارد و برنامههایی مانند اسپاتیفای، اوبر، OKCupid و تیندر هم اطلاعات خصوصی کاربران را جمعآوری میکنند.
البته باید گفت که تاکسیهای آنلاین که خود بخشی از این اپلیکیشنها محسوب میشوند برای رفع هرگونه شبههای تلاشهای متعددی داشتهاند. بهعنوان مثال یکی از شرکتهای تاکسی آنلاین در راستای امنتر کردن سفرهای خود و ارج نهادن به حریم خصوصی کاربرانش (اعم از مسافر و راننده) از سیستم جدیدی به نام «پنهانسازی شماره تلفن» رونمایی کرده است که این قابلیت از شهر مشهد آغاز شده و در آیندهای نزدیک در سایر شهرهای محل فعالیت شرکت اجرایی میشود. نکته حائز اهمیت در خصوص مزیت پنهانسازی شماره تلفن در سفر با سرویسهای آنلاین این است که این امکان کمک شایانی به حفظ حریم خصوصی کاربران میکند و گام مهمی در جهت امنیت سفرهای درونشهری به شمار میرود.
نیم نگاه
فیلم منتشر شده در فضای مجازی (که اول این مطلب به آن اشاره شد)، در حالی برخی کاربران را نگران کرده است که «محمد تسلیمی» یکی از کارشناسان امنیت مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، معتقد است این فیلم تفسیر نادرستی از لحاظ فنی ارائه داده است و محتوا و اظهارنظرهای غلط زیادی در آن دیده میشود.
توصیه کارشناسان امنیتی به کاربران این است که هرگونه اپلیکیشنی را فقط از مراکز مجاز و مارکتهای شناخته شده، دانلود کنند و هرگز سراغ سی دی، فلش و… نروند و این اصل را همیشه به خاطر داشته باشند که همیشه بهروزرسانی اپهای سیستم خود را در اولویت قرار دهند چرا با این کار بهنوعی دسترسیهای غیرمجاز توسط هکرها گرفته میشود.
مدیر روابط عمومی یکی از تاکسیهای آنلاین که با انتشار این فیلم موردحمله قرار گرفته است درواکنش به این موضوع گفت: «سامانه هوشمند حملونقل ما فقط اطلاعات مربوط به حساب کاربر (از جمله شماره تلفن، آدرس ایمیل و مشخصات هر سفر) را ذخیره میکند و در نسخه اندروید مسافر هم سه نوع دسترسی به موقعیت مکانی، فون و حساب کاربری دیده میشود.»
بهروزرسانی:
بعد از این که ویدیویی در رسانهها منتشر شد که فردی از دسترسیهای اضافی اپلیکیشن اسنپ گفته بود حالا دو نفر از اسنپ روبهدوربین درباره این دسترسیها توضیح میدهند.