ایران آنلاین / در این فیلم عنوان شده است در حالی که دو اپلیکیشن تاکسی آنلاین، دسترسیهایی معقول به کاربران خود دارند ولی یک تاکسی آنلاین با ایجاد دسترسیهایی غیرضروری میتواند گالری، لیست مخاطبان، کارت حافظه و حافظه داخلی گوشی هوشمند کاربر را در اختیار بگیرد. در پی انتشار این فیلم روزنامه ایران سراغ فعالان تاکسی های آنلاین و همچنین کارشناسان امنیت سایبری در مرکز ماهر و... رفته و نظر آنان را درباره این فیلم ومیزان دسترسی اپلیکیشن تاکسیهای آنلاین به حریم خصوصی کاربران جویا شده است.
فیلمی سراسر غلط و تفسیر نادرست
فیلم منتشر شده در فضای مجازی، در حالی برخی کاربران را نگران کرده است که «محمد تسلیمی» یکی از کارشناسان امنیت مرکز ماهر(مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، معتقد است این فیلم تفسیر نادرستی از لحاظ فنی ارائه داده است و محتوا و اظهارنظرهای غلط زیادی در آن دیده میشود. از نگاه وی، حتی میتوان این فیلم را مغرضانه دانست چون شخصی که به عنوان هکر معرفی شده، تنها با مقایسهای ساده با اپلیکیشنهای دیگر میتوانست متوجه شود که هر اپ برای کارکرد خود، به چه میزان دسترسی از سیستم عامل نیاز دارد و البته مشابه این دسترسی ها را در بیشتر اپلیکیشنهای دیگر هم میتوان دید. تسلیمی میافزاید: فردی که این فیلم را ارائه داده، اطلاعات فنی دقیقی روی این موضوع نداشته است .
وی یادآور شد که در این فیلم، برخی گزینه ها به اشتباه تفسیر شده بهعنوان مثال درخصوص مکان(location) در فیلم با اشاره به 2 آیتم،عنوان شد که در یک مورد حتی اگر اپلیکیشن، بسته هم باشد سرور میتواند مکان کاربر را پیدا کند. باید گفت که این تفسیر کاملا اشتباه است و درواقع این دو آیتم، دسترسی به مکان تقریبی و آیتم دسترسی به مکان دقیق است که از دو منبع مختلف تامین میشود. به عنوان مثال یکی از این لوکیشنها ازطریق جی پی اس خود گوشی و دیگری از لوکیشن سرویس گوگل ارائه میشود و درواقع اطلاعات تکمیلی میدهد که هر اپلیکیشنی که بخواهد لوکیشن دقیق به شما بدهد مجبور است از هر دوی این سرویس ها استفاده کند.
این کارشناس امنیت مرکز ماهر درباره دسترسی اپلیکیشن به حافظه داخلی یا جانبی نیز با اشاره به این که مرکز ماهر در این زمینه بررسی دقیقی انجام نداده است گفت: هرچند ما هنوز دلیل این دسترسی را نمیدانیم و باید مطالعه شود ولی باید گفت که نیاز به چنین مجوزی، موضوع عجیب و غیررایجی برای اپ ها نیست. به هرحال هرکدام از دسترسیهای اپ تاکسیهای آنلاین،کاربردی ویژه دارد و توجیه دقیق تر برای وجود آن را باید خود شرکت تولیدکننده ارائه دهد.
تسلیمی با اشاره به این که توسعه دهنده نرم افزار معمولا دسترسی ها را در مراحل مختلف کار ممکن است کم و زیاد کند به ایران گفت: نمیتوان تنها به صرف وجود یک دسترسی اضافه، قضاوت کرد که این شرکت درحال سوء استفاده است. در مواردی حتی ممکن است در کدنویسی، اشتباهی رخ داده باشد که این موضوع با یک تذکر و اطلاع رسانی حل میشود.
وی البته در پاسخ به سوال روزنامه ایران درباره متولی این امر اظهار داشت: هنوز متولی مشخصی در این زمینه وجود ندارد و به طور مستقیم وظیفه ما نیست ولی اگر مرکز ماهر به موردی برخورد کند و صحتش را تایید کند حتما تذکر میدهد. تسلیمی البته افزود: مرکز ماهر و سازمان فناوری اطلاعات با مستندات مرجع، الزاماتی را برای مارکت هایی که این اپ ها را توزیع می کنند، تهیه و تدوین کرده و در این زمینه، جلساتی هم با این تیم ها و شرکت ها برگزار و دستورالعمل ها ابلاغ شده است که این موارد نیز جزء فرآیند ارزیابیهایی محسوب می شود که این توزیع کنندگان باید روی اپ هایشان انجام دهند هرچند پیش از این نیزخود شرکت ها، سیاست هایی در فرآیندهای امنیتی داشتند.
این کارشناس امنیت اطلاعات همچنین عنوان کرد که برای کاربران هیچ جای نگرانی نیست و فکر نمی کنم هیچ نقض حریم خصوصی صورت گرفته باشد، حتی در نگاه اولیه این دسترسی ها را غیرطبیعی نمی دانم ولی بررسی هایی دقیقتر انجام خواهد شد.
وی در پایان از کاربران خواست هرگونه اپلیکیشنی را فقط از مراکز مجاز و مارکت های شناخته شده،دانلود کنند و هرگز سراغ سی دی، فلش، کانال های تلگرام و... نروند. تسلیمی همچنین یادآور شد که کاربران باید به موضوع آپدیت و به روز رسانی اپلیکیشنها نیز توجه کافی داشته باشند.
امکان غیرفعالسازی دسترسیها
مدیر روابط عمومی یکی از تاکسی های آنلاین (اسنپ) که با انتشار این فیلم مورد حمله قرار گرفته است درواکنش به این موضوع گفت: سامانه هوشمند حملونقل ما فقط اطلاعات مربوط به حساب کاربر (از جمله شماره تلفن، آدرس ایمیل و مشخصات هر سفر) را ذخیره میکند و در نسخه اندروید مسافر هم سه نوع دسترسی به موقعیت مکانی، فون و حساب کاربری دیده میشود.
وی در توضیح این دسترسی ها نیز اظهار داشت: دسترسی به موقعیت مکانی (Location) برای تعیین دقیق مبدا مسافر مورد استفاده قرار می گیرد و مسافر هم بعد از تعیین مبدا خود میتواند موقعیتیاب دستگاهش را خاموش کند. دسترسی به فون(Phone) هم برای راحت کردن عملیات شارژ حساب کاربری از طریق کدهای USSD استفاده میشود. به گفته وی، دسترسی به حساب کاربری (Contacts) برای ذخیره استاندارد اطلاعات حساب در گوشی کاربران به کار میرود.
مدیر روابط عمومی این تاکسی آنلاین در ادامه با بیان اینکه گوگل از اندروید ۶ به بعد، امکان فعال یا غیرفعال کردن دسترسیهای هر اپلیکیشن را در اختیار کاربرانش قرار داده است، گفت: بنابراین فعال یا غیرفعالسازی دسترسیهای اپلیکیشن، به طور مستقیم از سوی کاربران صورت میگیرد و ما دخالتی در آن نداریم. هر سه مورد این دسترسی، اختیاری بوده و برای راحتتر کردن کار با اپلیکیشن مربوطه است و کاربران با غیر فعال کردن آنها همچنان میتوانند از اپلیکیشن ما استفاده کنند. وی ادامه داد: اپلیکیشن تاکسی آنلاین ما به هیچ عنوان به حافظه داخلی، گالری، لیست مخاطبها، شماره تلفنها، اطلاعات حساس و سایر اپلیکیشنهای گوشی مسافران خود دسترسی ندارد و تنها برخی از اطلاعات سفر کاربران در دیتاسنترهای امن و به صورت کاملا محرمانه ذخیرهسازی میشود. این اطلاعات نیز طبقهبندیشده و فوق محرمانه هستند و دسترسی لایه لایه به آنها وجود دارد.
این مدیر روابط عمومی همچنین یادآور شد که به زودی در نسخه جدید نرمافزار مسافران این امکان ارائه میشود که دسترسی به تاریخچه سفر کاربران تنها از طریق رمز عبوری (Pin Code) که خودشان در اپ تعریف میکنند امکانپذیر باشد.
مقابله نادرست کسب وکار سنتی با آنلاین
به دنبال انتشار این فیلم،علیرضا رمضانی مدیر روابط عمومی یکی دیگر از تاکسی های آنلاین ( تپسی) به «ایران» گفت: نرمافزار ما به لحاظ فنی به اطلاعات کاربران دسترسی ندارد و درحقیقت میتوان گفت این سیستم عامل اندروید است که دسترسی های کلی را در گوشیهای هوشمند خود قرار داده است و اپلیکیشن ها می توانند دسترسیهای خود را محدودتر از آنچه هست، بکنند. شرکت ما نیز دسترسی به اطلاعات را بسیار محدود کرده و درواقع به حداقل اطلاعات مورد نیاز کاربران و رانندگان دسترسی دارد به طوریکه با نبود این اطلاعات، بخش فنی دچار اختلال می شود.
وی ادامه داد: تاکسی آنلاین ما تنها از بخش دسترسی به لوکیشن ها استفاده می کند بنابراین به هیچ وجه به حریم شخصی و خصوصی کاربران دسترسی ندارد.
مدیر روابط عمومی این شرکت تاکسی آنلاین با بیان اینکه انتشار چنین فیلم هایی صرفا برای ایجاد اختلال در روند فعالیت کسب و کارهای نوین است، گفت: از زمانی که کسب و کارهای آنلاین و تکنولوژی های جدید وارد بازار شده اند، کسب و کارهای سنتی، آنها را رقیب خود می دانند و احساس خطر می کنند. به هرحال وقتی تکنولوژی وارد کسب و کار می شود تغییر بازار کار غیرممکن است و این طبیعت تکنولوژی است. رمضانی افزود: درباره تاکسی های آنلاین نیز همین اتفاق افتاده است از وقتی تکنولوژی وارد کار حمل و نقل داخل شهری شده است نه تنها هزینهها را کاهش داده است بلکه سیستم را نیز بهینه کرده و اشتغالزایی را به دنبال داشته است ولی این موضوع به مذاق خیلی ها خوش نیامده و برخی به کارشکنی میپردازند.
ضرورت وجود آزمایشگاههای ارزیابی
درباره انتشار این فیلم سراغ یکی دیگر از کارشناسان امنیت سایبری رفتیم. «امید توکلی» طراح و راهبر راهکارهای امنیت اطلاعات و عملیات نیز در این باره گفت: فیلمی که منتشر شده است با دسترسی هایی که در نسخه فعلی این تاکسی آنلاین وجود دارد،متفاوت است. از این رو به نظر می رسد این کلیپ روی نسخه های قدیمی تر آن تهیه شده است. وی ادامه داد: قبلا این اپلیکیشن دسترسی های بیشتری روی گوشی ها تعریف کرده بود که در نسخه فعلی و بروزرسانی شده، دیگر وجود ندارد. توکلی افزود: اکنون دسترسی به فایل ها وجود ندارد، ولی اگر فرض کنیم کاربران یا راننده ها نیاز دارند که عکس پروفایل آنها روی اپلیکیشن آپلود شود، باید اپ دسترسی به مدیا و فایل ها وجود داشته باشد ولی این لزوماً به معنای جاسوسی اپ از فایل های کاربر نیست.
وی در ادامه گفت: عملاً برنامه نویس اپ، دسترسی های مورد نیاز اپ را تعریف کرده و از اندروید می گیرد. نکته بسیار مهم این است که به ساز و کار ارزیابی و بررسی دسترسی ها و آسیب پذیریهای اپ های پرکاربرد نیز نیاز داریم ولی متاسفانه هنوز زیرساخت آنها در کشور مهیا نشده است، به عبارتی نیازمند وجود آزمایشگاههایی هستیم که کار آنها ارزیابی و تایید امنیتی اپهای گوشی های هوشمند باشد.
این طراح و راهبر راهکارهای امنیت اطلاعات و عملیات با اینکه دسترسی های اپ ها در زمان نصب به کاربر نشان داده می شود، گفت: اگر کاربر آموزش دیده باشد، می تواند اجازه یا عدم اجازه دسترسی ها را با توجه به کاربرد اپ تنظیم کند مثلاً من به شخصه دسترسی های این تاکسیهای آنلاین را غیرفعال کردم، ولی اپ همچنان کار می کند.
توکلی به کاربران توصیه کرد برای حفظ حریم خصوصی و اطلاعات در زمان نصب اپ به دسترسیهایی که اپ از آنها اجازه میگیرد توجه داشته باشند و در عین حال از نصب اپ ها از منابع غیرقانونی اجتناب کرده و در گوشی های خود ضد بدافزار نصب کنند.
یک کارشناس امنیت سایبری دیگر نیز با رد این موضوع که دسترسیهای اپلیکیشنهای مختلف ازجمله تاکسیهای اینترنتی به سیستم عامل اندروید بازمیگردد به ایران گفت: اگر اندروید بخواهد به این مقوله وارد شود اصلا معنای امنیت و حریم خصوصی از بین می رود. درواقع کسی که اپ را می نویسد این دسترسیها را تعریف می کند که به عنوان مثال به گالری، مکان شخص، مخاطبان و... دسترسی داشته باشد. از نگاه این کارشناس، درواقع اندروید یک سیستم عامل و بستر است و کسی که برنامه می نویسد روی این بستر، دسترسی ها را مشخص می کند و کاربران هم میتوانند هنگام نصب به این اجازههای دسترسی جواب مثبت یا منفی بدهند.
وی البته اشاره کرد که گاه اگر این دسترسیها را کاربر نپذیرد عملا نمیتواند اپلیکیشن را نصب کند که در این صورت باید در مراحل بعد به عنوان مثال در گالری خود عکسهای مهم و خاص را ذخیره نکند تا مشکلی پیش نیاید. این کارشناس افزود: برای برنامه های پرکاربرد که در کشور مورد استفاده قرار میگیرد حتما باید سازمان هایی ازجمله وزارت ارتباطات، اپ استورها(فروشگاه های توزیع کننده این برنامک ها) که متولی این بحث هستند نظارت بر موضوع داشته باشند ولی گاه این فروشگاه ها چندان راغب نیستند به این حوزه ورود کنند چون می گویند مسئولیت به خود سازنده اپ بازمی گردد. وی در پایان یادآور شد: این فیلم هشدار خوبی برای 3 ذینفع یعنی کاربر، مسئولان نظارت بر این موضوع و نیز شرکت های ارائه دهنده این سرویسهاست تا امکان هر مشکلی به حداقل برسد.
ضرورت حفظ حریم خصوصی
موضوع سوء استفاده اپلیکیشنهای مختلف از کاربران، موضوعی نیست که مختص ایران باشد وآن را میتوان یک دغدغه جهانی دانست. در همین راستا مدتی پیش خبری منتشر شد که نشان میداد بیشتر برنامههای اندرویدی بعد از نصب، از کاربران خود جاسوسی کرده و اطلاعات خصوصی آنها را بررسی می کنند. طبق این گزارش، بخش اعظم برنامه های اندرویدی حاوی ابزار ردگیری و کنترل فعالیت های کاربران هستند و بنابراین نصب این برنامه ها برای افراد تبعات امنیتی دارد. از نگاه محققان حاضر در این گزارش،هدف اصلی از این نوع جاسوسی ها شناسایی سلائق و علائق کاربران به منظور ارسال تبلیغات و آگهی های دیجیتال مرتبط برای هر فرد است. بر اساس بررسی یادشده از هر چهار برنامه اندرویدی، سه برنامه به ابزار ردگیری و کنترل کاربران مجهز هستند و البته بیشتر مشتریان از این امر آگاه نیستند. گفتنی است که این مشکل حتی در برنامه های فروشگاه گوگل پلی نیز وجود دارد و برنامه هایی مانند اسپاتیفای، اوبر، OKCupid و تیندر هم اطلاعات خصوصی کاربران را جمع آوری می کنند.
البته باید گفت که تاکسی های آنلاین که خود بخشی از این اپلیکیشنها محسوب میشوند برای رفع هرگونه شبههای تلاشهای متعددی داشته اند. به عنوان مثال یکی از شرکت های تاکسی آنلاین در راستای امنتر کردن سفرهای خود و ارج نهادن به حریم خصوصی کاربرانش (اعم از مسافر و راننده) از سیستم جدیدی به نام «پنهانسازی شماره تلفن» رونمایی کرده است که این قابلیت از شهر مشهد آغاز شده و در آیندهای نزدیک در سایر شهرهای محل فعالیت شرکت اجرایی میشود. نکته حائز اهمیت در خصوص مزیت پنهانسازی شماره تلفن در سفر با سرویسهای آنلاین این است که این امکان کمک شایانی به حفظ حریم خصوصی کاربران میکند و گام مهمی در جهت امنیت سفرهای درونشهری به شمار میرود.
نظر شما