به گزارش فناوری فرهنگی، هفته گذشته برگی دیگر از بیقانونی کسبوکارهای اینترنتی ورق خورد و مثل همیشه دود آن به چشم مردم رفت. روزی این کسبوکارها بدون مجوز پا در هر عرصهای میگذارند و انبوهی از چالشهای اقتصادی، امنیتی، اجتماعی و فرهنگی ایجاد میکنند. روز دیگر خبر تعرض به مردم بر اثر بیتوجهی و بیمسوولیتی آنها منتشر میشود و یک روز خبر رواج منکرات در یک اپلیکیشن دیگر میرسد. روزی خبر گرانفروشی آنها منتشر میشود و حالا خبر از دسترسی نامحدود برخی از این کسبوکارهای نوپا که در قالب اپلیکیشن فعالیت میکنند به حریم خصوصی مردم، موجبات نگرانیهای جدیدی را به بار آورده است.
وجه اشتراک تمام این مسایل، مجوز مسوولان و نهادهای متولی در این عرصه است. این مجوز در واقع با سکوت آنها صادر شده و در حال حاضر شاهد برخورد و بازخواست جدی و نتیجهدار در هیچکدام از تخلفات نبودهایم.
برخی مسوولان اما پوشش و نقشی آزاردهنده برای خود ایجاد کردهاند و صرفا خود را مسوول تضمین درآمدزایی کسبوکارهای اینترنتی میدانند تا فردا در کارنامه عملکرد خود آن را به رخ رقبای سیاسی بکشند. این قبیل مسوولان اصولا کاری به نقش خود در زمینهسازی وقوع برخی مشکلات و جرایم ندارند و وقتی هم با پرسشهایی در این خصوص مواجه میشوند، آدرس پلیس و دادگاه را میدهند که وظیفه برخورد با تخلف به عهده آنهاست.
حال آنکه بستر و سرچشمه وقوع تخلفات از سوی این مسوولان فراهم شده است؛ آنهم از طریق بیقانونی، سکوت، انتقاد از منتقدان و جلوگیری از اجرای اقدامات قانونی.
** اگر این موضوع را به شائبه رانت برخی کسبوکارهای شناختهشده اینترنتی در ایران اضافه کنید، صورتمساله تا حدودی روشن میشود و اینجاست که متوجه میشوید چرا انتقادها تنها در سطح رسانهها باقی میماند و هیچ خدشهای به درآمدزایی ایشان وارد نشده و نمیشود.**
نگرانی جدید چیست؟
یکی از مسایل نگرانکننده در خصوص بخش بزرگی از اپلیکیشنهای ایرانی، دسترسیهای خارج از عرف و بیش از میزان مورد نیاز برای نصب و استفاده از این برنامهها است. برای مثال، برای یک اپلیکیشن ماشینحساب نیازی به دسترسی به گالری گوشی هوشمند کاربر نیست، اما برخی برنامهنویسان ایرانی چنین دسترسیهایی را طلب میکنند. با توجه به اینکه برای نصب برنامه ناچار باید شرایط برنامهنویس پذیرفته شود، کاربران ایرانی نیز دانسته یا نادانسته تن به پذیرش این قرارداد ترکمنچای داده و برای استفاده از برنامه، اجازه دسترسی کامل به حافظه موبایلشان را میدهند. البته آنطور که یک برنامهنویس به خبرنگار ما گفته، در سیستمعاملهای iOS این دسترسیها بهصورت اتوماتیک محدود میشود و در سیستمعامل اندروید نیز گاه میتوان با برداشتن برخی تیکها کمی میزان دسترسیها را محدود کرد. با این وجود در خصوص برخی برنامهها دسترسیها بهگونهای تعریف شده که امکان برداشتن تیک هم وجود ندارد.
در هفتههای اخیر موضوع دسترسیهای نامتعارف اپلیکیشنهای ایرانی تحت تاثیر اقدامات یک اپلیکیشن تاکسییاب شکل جدیتری به خود گرفت که رسیدگی به آن وظیفه رسانهها نبوده و مسوولان متولی باید چارهای بیندیشند.
ماجرا از جایی آغاز شد که یک اپ تاکسی اینترنتی که در سایه فعالیت نکردن نمونههای خارجی رشد قابل توجهی داشته است، از کاربرانش خواسته بود نسخه جدید را دانلود کنند و به محض دانلود نسخه جدید تغییراتی روی گوشی آنها ایجاد شده که از آن پس استفاده از یک نرمافزار مسیریاب خارجی حتی با فیلترشکن برای آنها ناممکن شده است؛ موضوعی که شائبه دسترسی این اپلیکیشن به محتوای داخلی گوشی دارندگان آن را ایجاد کرد.
چیزی از این اتفاق نگذشته بود که انتشار فیلمی در سطح فضای مجازی در خصوص میزان دسترسیهایی که اپهای تاکسییاب میخواهند، مشخص کرد که اپلیکیشن تاکسیاینترنتی مذکور دسترسیهای بیجهت و بیش از نیاز خود را میخواهد. این دسترسیها شامل دسترسی به پیامکها، دسترسی به سایر اپهای گوشی و درصورتی که حساب ایمیل یا تلگرام و سایر پیامرسانهای موبایلی آنها فعال باشد، میشد و دسترسی به تمام این موارد وجود داشت.
توجیهی به نام اجازه داریم
در پاسخ به این اقدام نگرانکننده، مالکان این تاکسی اینترنتی میگویند مجوز گرفتهایم که به محتویات گوشی کاربران دسترسی داشته باشیم و با همین توجیه ساده دسترسی خود به موقعیت، فهرست مخاطبان، حافظه جانبی و حافظه تلفن همراه کاربران را در اختیار گرفتهاند. یکی از تاکسیهای اینترنتی فعال در کشور که سرمایهگذار خارجی دارد، در حالی تمام این دسترسیها را از کاربران خود میخواهد که از آیپیهای بینالمللی استفاده کرده و اطلاعات آن به جای اینترانت و در شبکه داخلی کشور در اینترنت که فضای بینالمللی و با نظارت بسیار محدودتری است قرار دارد. استفاده از نقشه گوگل نیز باعث میشود که تمام جابهجاییهای کاربران ایرانی در طول روز مشخص بوده و یک نسخه آن در اختیار گوگل نیز قرار بگیرد.
علاوه بر این، به گفته یک کارشناس فضای مجازی، برخی از اپلیکیشنهای ایرانی یا سیستم رمزنگاری ندارند یا اگر دارند سیستم رمزنگاریشان خارجی است؛ به این معنا که همه دادهها میتوانند بهصورت پنهان و بدون اینکه کاربر متوجه شود بهصورت رمز درآیند و از گوشی خارج شوند و به خارج از کشور بروند. برای نمونه، اجازه دسترسی به گالری میتواند تمامی عکسهای موجود در گوشی تلفن همراه شما را بدون اینکه متوجه شوید بهصورت رمز بیاورد و منتقل کند. همین مساله درباره دفترچه تلفن گوشی تلفن همراه و دسترسی به شماره تلفنهای موجود در آن هم وجود دارد.
قوانین چه میگوید؟
باید توجه داشت که موضوع اپلیکیشنهای موبایلی موضوعی به نسبت جدید محسوب میشود و با توجه به سرعت پایین سیستم قانونگذاری در کشور، نباید انتظار داشت که به این زودیها قانون تخصصی برای این اپها وضع شده و بهاجرا گذاشته شود. با این وجود اما قوانین پیشین و قانون اساسی چارچوبهای اصلی حریمخصوصی را مشخص کرده و طبیعتا برنامهنویسان و ارایهکنندگان اپلیکیشنهای موبایلی نیز باید آن را مورد توجه قرار دهند.
در ماده۴ قانون آییندادرسیکیفری مصوب سال۱۳۹۲ بهصراحت گفته شده: «اصل، برائت است. هرگونه اقدام محدودکننده، سالب آزادی و ورود به حریم خصوصی اشخاص جز به حکم قانون و با رعایت مقررات و تحت نظارت مقام قضایی مجاز نیست.»
به این ترتیب باید گفت این فقط قانون است که با رعایت ضوابط و مقررات ویژه و آن هم با نظارت مقام قضایی میتواند به حریم شخصی افراد ورود کند. این در حالی است که دسترسیهای نامتعارف و بیجهت اپلیکیشنهای ایرانی در عمل موجب شده تا امکان ورود به حریم شخصی افراد فراهم شود.
جالب است بدانید که حریم خصوصی در نگاه قانونگذار چنان اهمیتی دارد که حتی مقامات قضایی را جز به حکم قانون، مجاز به ورود در حریم شخصی متهم نمیداند.
آنطور که در برخی از گزارشها آمده، شرکت «اپل» بهدلیل آنکه بعضی از نرمافزارهای ایرانی حریم خصوصی افراد را نادیده میگرفتند، آنها را از فهرست دانلودهای «اپاستور» حذف کرده است. مدیران اپل اعتقاد داشتند دسترسی بعضی از اپلیکیشنها به اپهای بانکهای ایرانی محل شبهه است. این موضوع نشان میدهد که حتی فروشگاههای اپلیکیشن خارجی برای حفظ حریم خصوصی کاربران خود اهمیت بالایی قائل بوده و حاضر نیستند آن را حتی به قیمت ریزش مخاطبان خود نادیده بگیرند.
به گفته کارشناسان، راهحلی که اکنون در کشورهای توسعهیافته برای جلوگیری از سوءاستفاده سرویسدهندگان اپلیکیشنها مورد استفاده بوده، این است که پیش از فروش هر نرمافزاری آن نرمافزار به ثبت میرسد و پس از ثبت، تمام اطلاعات آن در اختیار مردم قرار میگیرد.
با این رویه، ارایهدهندگان اپهای موبایلی ملزم میشوند که متن برنامههایش را باز بگذارند که همه افراد آنها را مشاهده کرده و اپها از فضایی که قابل مشاهده است، اجرا شود.
نرمافزار پیامرسان تلگرام با وجود تمام انتقادهایی که در خصوص آن مطرح میشود، این کار را انجام داده و تمام دیتاهایش پیش روی مردم است. اگر این شفافسازی در خصوص تمام اپهای ایرانی ایجاد شود، بهراحتی افراد متخصص عملکرد نرمافزار را بررسی کرده و نتیجه را از طریق رسانهها در اختیار عموم مردم قرار میدهند.
«لطفا» به جای «قانون»!
در حال حاضر هیچ قانون مشخصی برای چارچوب فعالیت اپهای موبایلی و مشخص شدن میزان دسترسیهای مجاز آنها وجود ندارد. نکته قابل توجه آنکه سازمان فناوری اطلاعات وزارت ارتباطات نیز به جای رفتن به سمت الزامات قانونی، بهتازگی ترجیح داده یک توصیهنامه غیرالزامآور منتشر کرده و رعایت آن را به عهده فروشگاههای داخلی عرضه اپلیکیشن گذاشته است.
معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات گفته که بهدلیل گستره وسیع تولید و استفاده از نرمافزارهای کاربردی تلفن همراه، توصیههای ارتقای امنیت برای توزیعکنندگان برنامههای سامانههای هوشمند تهیه کرده و برای بهرهبرداری در اختیار صاحبان این کسبوکارها قرار داده است.
بر اساس اعلام سازمان فناوری اطلاعات، برای این منظور، مطالعاتی در این سازمان انجام گرفته و پس از نشست مشترک با مدیران کسبوکارهای مرتبط در حوزه توزیع و انتشار برنامههای کاربردی موبایلی و اخذ نظر مشورتی و دیدگاهها و دغدغههای آنها، نخستین بسته توصیههای امنیتی مربوط به این حوزه تهیه و نهایی شده است.
معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات، یکی از مشکلاتی را که از سوی صاحبان کسبوکارها برای اجرایی شدن این توصیهنامه مطرح میشود، نداشتن تجهیزات آزمایشگاهی عنوان کرده و گفته است: مقرر شد تا زمان تامین و تکمیل شدن آزمایشگاههای مربوط به هریک از توزیعکنندگان محتوا، مرکز ماهر با درنظر گرفتن اولویتهایی مانند اهمیت برنامه و تعداد مخاطبان، ارزیابیهای لازم را انجام داده و در صورت وجود مخاطرات احتمالی، مراتب به تولیدکننده و توزیعکنندگان برنامه بهصورت مستقیم اطلاع داده شود. توصیهنامه مذکور در سه بخش تهدیدهای توزیع برنامهها، توصیههای امنیتی برای رفع این تهدیدها و استانداردهای فنی دنیا برای امنسازی برنامههای کاربردی موبایلی منتشر شده است.
اما همانطور که ذکر شد، این موارد توصیههایی غیرالزامآور محسوب میشوند.
نگرانیهای امنیتی
نکته اینجاست که برخی از این اپلیکیشنها مشخص نیست که چرا چنین دسترسیهای گستردهای را طلب میکنند. پس از دسترسی به این موارد با اطلاعات مردم چه میکنند و چه تضمینی برای اینکه خود هک نشده و زمینهساز لو رفتن اطلاعات مردم نشوند، وجود دارد.
نباید فراموش کرد که بسیاری از اپنویسهای ایرانی سن بسیار پایینی داشته و به هر روی این احتمال وجود دارد که از روی کنجکاوی و شیطنت هم که شده برخی از اطلاعات شخصی کاربران را ببینند. فراموش نکنیم که حتی با فرض اینکه تمام اپنویسان کاملا اخلاقمدار باشند، باز هم درخواست دسترسیهای غیرمتعارف به اطلاعات گوشیهای مردم غیرقابل توجیه است.
یکی از نگرانیهای موجود این است که با هک شدن اکانت مدیریت هر یک از این اپها با توجه به امکان دسترسی به اطلاعات کاربران، تمام اطلاعات کاربران در اختیار هکر قرار میگیرد.
**فراموش نکنید که هک سایت دوستیابی اشلی مدیسون و انتشار اطلاعات کاربران آن توسط هکر حتی موجب خودکشی چند نفر از کسانی که اطلاعات آنها افشا شده بود، شد. پس وقتی چنین اتفاقی برای یکی از بزرگترین سایتهای دوستیابی آمریکا و جهان که از طریق سیستمهای امنیتی بسیار باکیفیت محافظت میشود میافتد، چندان دور از ذهن نیست که این اتفاق برای اپلیکیشنهای ایرانی هم افتاده و هک آنها فاجعهای مشابه را رقم بزند.**
به این نکته نیز باید توجه داشت که برخی از اپهای فعال در کشور از جمله یک اپلیکیشن پرطرفدار تاکسی اینترنتی که در ایران فعال است، سرمایهگذاران خارجی دارند و در نتیجه امکان دسترسی به اطلاعات کاربران ایرانی برای آنها نیز وجود خواهد داشت.
یک اپنویس جوان که اپلیکیشن طراحیشده توسط وی در حال حاضر روی گوشی 5/1 میلیون نفر نصب شده است، به خبرنگار ما میگوید: اپلیکیشن ما در حوزه طراحی عکس است و به همین منظور یکی از دسترسیها به بخش گالری گوشی (جایی که عکسها و فیلمها ذخیره میشود) در واقع اجتنابناپذیر است. اما موضوع اینجاست که دسترسی به گالری در واقع دسترسی ما به کل File Manager گوشی (تمام فایلهای روی گوشی) را امکانپذیر میکند.
**وی در پاسخ به اینکه از این طریق آیا امکان مشاهده و انتقال عکسها و فیلمهای مردم از طریق گوشی تلفن همراه آنها را دارید یا نه؟ میگوید: بله، چنین امکانی وجود دارد و میتوانیم از طریق برنامه و یک کد دستوری که مثلا تمام فایلهای .jpg یا .mov (تمام عکسها و فیلمهای کاربران) را در زمانی که آنلاین میشوند، به سرورهای خود منتقل کنیم و به آنها دسترسی داشته باشیم.**
توصیههایی به مردم
از آنجا که همچون موارد متعدد دیگر انتظار اقدام و برخوردی نداریم، حداقل توصیههایی به خودمان یعنی مردم و کاربرانی ایرانی ارایه میدهیم.
همیشه باید توجه داشته باشید که هر اپلیکیشنی دسترسیهای ویژه خود را از شما طلب میکند که البته ممکن است صادر کردن اجازه این دسترسیها به بهای از دست رفتن حریم شخصیتان تمام شود. در زمان نصب هر اپلیکیشن به شما توضیح داده میشود که شما با نصب این اپ اجازه چه دسترسیهایی را به برنامه میدهید. اگر از اندروید 7 به بالا استفاده میکنید، میتوانید در صورت غیرمربوط بودن دسترسی خواستهشده با موضوع اپ، این دسترسیها را محدود کنید. اما اگر برنامه اجازه محدود کردن این دسترسی را به شما نمیدهد و اعلام میکند که باید به تمام دسترسیهایش اجازه فعال شدن بدهید، بهتر است کلا قید نصبش را بزنید.
فراموش نکنید که همواره دسترسیهای خواستهشده توسط برنامه باید مرتبط با خدمتی که ارایه میدهد باشد. برای مثال، دسترسی به گالری عکس اگرچه برای یک اپلیکیشن ارایهدهنده خدمات گرافیکی میتواند لازم باشد، اما بههیچوجه برای یک اپ تاکسییاب کاربرد ندارد؛ همانطور که دسترسی به موقعیت فرد هم هیچ ارتباطی با موضوع فعالیت یک اپلیکیشن گرافیکی ندارد.
پس اگر برنامهای از شما دسترسی نامرتبط با موضوع فعالیتش را میخواست یا با برداشتن تیک مربوطه این درخواست را محدود کنید یا بهکل ریسک نکرده و آن را نصب نکنید؛ چون در صورت افشای اطلاعات و تصاویر خصوصی شما در فضای مجازی، امکان پیدا کردن عامل رخنه در گوشی کار سادهای نیست.
از تمامی این توصیهها مهمتر، این است که منتظر قانون و مقررات و مسایلی از این دست نمانده و بههیچوجه عکسها، ویدیوها و محتوای خصوصی و باارزش روی گوشی و کامپیوتر ذخیره و نگهداری نکنید. فراموش نکنید هر ابزاری که به اینترنت متصل میشود، همه نوع امکانی برای انتقال اطلاعات و مشاهده شما را دارد؛ از تلویزیونهای هوشمند گرفته که رسما اعلام شد صدا و تصویر شما را به سرورهای خود منتقل میکنند تا گوشی و کامپیوتر.
منبع: آی تی آنالیز