به گزارش مشرق، «با انتشار فیلمی در فضای مجازی و دست به دست شدن آن در شبکه‌های اجتماعی بار دیگر موضوع حفظ حریم خصوصی در کانون توجه قرار گرفت؛ فیلمی که ادعا می‌شود روایت‌گر آن یک هکر است که نسبت به‌ دسترسی‌های بیش از اندازه یکی از اپلیکیشن‌های‌ تاکسی‌های آنلاین به بخش‌های مختلف تلفن هوشمند کاربران انتقاد دارد. در این فیلم عنوان شده است در حالی که دو اپلیکیشن تاکسی آنلاین، دسترسی‌هایی معقول به‌ کاربران خود دارند ولی یک تاکسی آنلاین با ایجاد دسترسی‌هایی‌ غیر ضروری می‌تواند گالری، لیست مخاطبان، کارت حافظه و حافظه داخلی گوشی هوشمند کاربر را در اختیار بگیرد. در پی انتشار این فیلم روزنامه ایران سراغ فعالان تاکسی‌های آنلاین و همچنین کارشناسان امنیت سایبری در مرکز ماهر و... رفته و نظر آنان را درباره این فیلم و میزان دسترسی اپلیکیشن‌ تاکسی‌های آنلاین به حریم خصوصی کاربران جویا شده است.

فیلمی غلط با تفسیری نادرست

فیلم منتشر شده در فضای مجازی، در حالی برخی کاربران را نگران کرده است که «محمد تسلیمی» یکی از کارشناسان امنیت مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، معتقد است این فیلم تفسیر نادرستی از لحاظ فنی ارائه داده است و محتوا و اظهار نظرهای غلط زیادی در آن دیده می‌شود. از نگاه وی حتی می‌توان این فیلم را مغرضانه دانست چون شخصی که به‌ عنوان هکر معرفی شده، تنها با مقایسه‌ای ساده با اپلیکیشن‌های دیگر می‌توانست متوجه شود که هر اپ برای کارکرد خود، به چه میزان دسترسی از سیستم عامل نیاز دارد و البته مشابه این دسترسی‌ها را در بیشتر اپلیکیشن‌های دیگر هم می‌توان دید. تسلیمی می‌افزاید، فردی که این فیلم را ارائه داده، اطلاعات فنی دقیقی روی این موضوع نداشته است.

وی یادآور شد که در این فیلم، برخی گزینه‌ها به اشتباه تفسیر شده، به‌ عنوان مثال در خصوص مکان (location) در فیلم با اشاره به ۲ آیتم، عنوان شد که در یک مورد حتی اگر اپلیکیشن، بسته هم باشد سرور می‌تواند مکان کاربر را پیدا کند. باید گفت که این تفسیر کاملاً اشتباه است و در واقع این دو آیتم، دسترسی به مکان تقریبی و آیتم دسترسی به مکان دقیق است که از دو منبع مختلف تأمین می‌شود. به‌ عنوان مثال یکی از این لوکیشن‌ها از طریق «جی پی اس» خود گوشی و دیگری از لوکیشن سرویس گوگل ارائه می‌شود و در واقع اطلاعات تکمیلی می‌دهد که هر اپلیکیشنی که بخواهد لوکیشن دقیق به شما بدهد مجبور است از هر دوی این سرویس‌ها استفاده کند.

این کارشناس امنیت مرکز ماهر درباره دسترسی اپلیکیشن به حافظه داخلی یا جانبی نیز با اشاره به این که مرکز ماهر در این زمینه بررسی دقیقی انجام نداده است، گفت: هر چند ما هنوز دلیل این دسترسی را نمی‌دانیم و باید مطالعه شود ولی باید گفت که نیاز به چنین مجوزی، موضوع عجیب و غیر رایجی برای اپ‌ها نیست. به هر حال هر کدام از دسترسی‌های اپ تاکسی‌های آنلاین، کاربردی ویژه دارد و توجیه دقیق‌تر برای وجود آن را باید خود شرکت تولیدکننده ارائه دهد.

تسلیمی با اشاره به این که توسعه‌دهنده‌ نرم‌افزار معمولاً دسترسی‌ها را در مراحل مختلف کار ممکن است کم و زیاد کند، به «ایران» گفت: نمی‌توان تنها به صرف وجود یک دسترسی اضافه، قضاوت کرد که این شرکت در حال سوء‌استفاده است. در مواردی حتی ممکن است در کدنویسی، اشتباهی رخ داده باشد که این موضوع با یک تذکر و اطلاع‌رسانی حل می‌شود.

وی البته در پاسخ به سؤال روزنامه ایران درباره متولی این امر اظهار داشت: هنوز متولی مشخصی در این زمینه وجود ندارد و به طور مستقیم وظیفه ما نیست ولی اگر مرکز ماهر به موردی برخورد و صحتش را تأیید کند حتماً تذکر می‌دهد.

تسلیمی البته افزود: مرکز ماهر و سازمان فناوری اطلاعات با مستندات مرجع، الزاماتی را برای مارکت‌هایی که این اپ‌ها را توزیع می‌کنند، تهیه و تدوین کرده و در این زمینه، جلساتی هم با این تیم‌ها و شرکت‌ها برگزار و دستورالعمل‌ها ابلاغ شده است که این موارد نیز جزو فرآیند ارزیابی‌هایی‌ محسوب می‌شود که این توزیع‌کنندگان باید روی اپ‌هایشان انجام دهند؛ هر چند پیش از این نیز خود شرکت‌ها، سیاست‌هایی در فرآیندهای امنیتی داشتند.

این کارشناس امنیت اطلاعات همچنین عنوان کرد که برای کاربران هیچ جای نگرانی نیست و فکر نمی‌کنم هیچ نقض حریم خصوصی صورت گرفته باشد، حتی در نگاه اولیه این دسترسی‌ها را غیر طبیعی نمی‌دانم ولی بررسی‌هایی دقیق‌تر انجام خواهد شد.

وی در پایان از کاربران خواست هرگونه اپلیکیشنی را فقط از مراکز مجاز و مارکت‌های شناخته شده، دانلود کنند و هرگز سراغ سی دی، فلش، کانال‌های تلگرام و... نروند. تسلیمی همچنین یادآور شد که کاربران باید به موضوع آپدیت و به روزرسانی اپلیکیشن‌ها نیز توجه کافی داشته باشند.

امکان غیر فعال‌سازی دسترسی‌ها

مدیر روابط عمومی یکی از تاکسی‌های آنلاین که با انتشار این فیلم متهم شده است، در پاسخ به این اتهام گفت: سامانه هوشمند حمل‌ونقل ما فقط اطلاعات مربوط به حساب کاربر (از جمله شماره تلفن، آدرس ایمیل و مشخصات هر سفر) را ذخیره می‌کند و در نسخه اندروید مسافر هم سه نوع دسترسی به موقعیت مکانی، فون و حساب کاربری دیده می‌شود.

وی در توضیح این دسترسی‌ها نیز اظهار داشت: دسترسی به موقعیت مکانی (Location) برای تعیین دقیق مبدأ مسافر مورد استفاده قرار می‌گیرد و مسافر هم بعد از تعیین مبدأ خود می‌تواند موقعیت‌یاب دستگاهش را خاموش کند. دسترسی به فون (Phone) هم برای راحت‌ کردن عملیات شارژ حساب کاربری از طریق کدهای USSD استفاده می‌شود.

به گفته وی، دسترسی به حساب کاربری (Contacts) برای ذخیره استاندارد اطلاعات حساب در گوشی کاربران به کار می‌رود.

مدیر روابط عمومی این تاکسی آنلاین در ادامه با بیان این که گوگل از اندروید ۶ به‌ بعد، امکان فعال یا غیر فعال کردن دسترسی‌های هر اپلیکیشن را در اختیار کاربرانش قرار داده است، گفت: بنابراین فعال یا غیر فعال‌سازی دسترسی‌های اپلیکیشن، به‌ طور مستقیم از سوی کاربران صورت می‌گیرد و ما دخالتی در آن نداریم. هر سه مورد این دسترسی‌، اختیاری بوده و برای راحت‌تر کردن کار با اپلیکیشن مربوطه است و کاربران با غیر فعال کردن آنها همچنان می‌توانند از اپلیکیشن ما استفاده کنند.

وی ادامه داد: اپلیکیشن تاکسی آنلاین ما به‌ هیچ عنوان به حافظه داخلی، گالری، لیست مخاطب‌ها، شماره تلفن‌ها، اطلاعات حساس و سایر اپلیکیشن‌های گوشی مسافران خود دسترسی ندارد و تنها برخی از اطلاعات سفر کاربران در دیتاسنترهای امن و به‌ صورت کاملاً محرمانه ذخیره‌سازی می‌شود. این اطلاعات نیز طبقه‌بندی‌شده و فوق‌محرمانه هستند و دسترسی لایه لایه به آنها وجود دارد.

این مدیر روابط عمومی همچنین یادآور شد که به زودی در نسخه جدید نرم‌افزار مسافران این امکان ارائه می‌شود که دسترسی به تاریخچه سفر کاربران تنها از طریق رمز عبوری (Pin Code) که خودشان در اپ تعریف می‌کنند، امکان‌پذیر باشد.

مقابله نادرست کسب و کار سنتی با آنلاین

به دنبال انتشار این فیلم، علیرضا رمضانی، مدیر روابط عمومی یکی دیگر از تاکسی‌های آنلاین به «ایران» گفت: نرم‌افزار ما به‌ لحاظ فنی به اطلاعات کاربران دسترسی ندارد و در حقیقت می‌توان گفت این سیستم عامل اندروید است که دسترسی‌های کلی را در گوشی‌های هوشمند خود قرار داده است و اپلیکیشن‌ها می‌توانند دسترسی‌های خود را محدودتر از آن چه هست، بکنند. شرکت ما نیز دسترسی به اطلاعات را بسیار محدود کرده و در واقع به حداقل اطلاعات مورد نیاز کاربران و رانندگان دسترسی دارد؛ به طوری که با نبود این اطلاعات، بخش فنی دچار اختلال می‌شود.

وی ادامه داد: تاکسی آنلاین ما تنها از بخش دسترسی به لوکیشن‌ها استفاده می‌کند. بنابراین به‌ هیچ وجه به حریم شخصی و خصوصی کاربران دسترسی ندارد.

مدیر روابط عمومی این شرکت تاکسی آنلاین با بیان این که انتشار چنین فیلم‌هایی صرفاً برای ایجاد اختلال در روند فعالیت کسب و کارهای نوین است، گفت: از زمانی که کسب و کارهای آنلاین و تکنولوژی‌های جدید وارد بازار شده‌اند، کسب و کارهای سنتی، آنها را رقیب خود می‌دانند و احساس خطر می‌کنند. به هرحال وقتی تکنولوژی وارد کسب و کار می‌شود، تغییر بازار کار غیر ممکن است و این طبیعت تکنولوژی است.

رمضانی افزود: درباره تاکسی‌های آنلاین نیز همین اتفاق افتاده است. از وقتی تکنولوژی وارد کار حمل و نقل داخل شهری شده است نه تنها هزینه‌ها را کاهش داده است بلکه سیستم را نیز بهینه کرده و اشتغالزایی را به‌ دنبال داشته است ولی این موضوع به مذاق خیلی‌ها خوش نیامده و برخی به کارشکنی می‌پردازند.

ضرورت وجود آزمایشگاه‌های ارزیابی

درباره انتشار این فیلم سراغ یکی دیگر از کارشناسان امنیت سایبری رفتیم. «امید توکلی» طراح و راهبر راهکارهای امنیت اطلاعات و عملیات نیز در این باره گفت: فیلمی که منتشر شده است با دسترسی‌هایی که در نسخه فعلی این تاکسی آنلاین وجود دارد، متفاوت است. از این‌ رو به نظر می‌رسد این کلیپ روی نسخه‌های قدیمی‌تر آن تهیه شده است.

وی ادامه داد: قبلاً این اپلیکیشن دسترسی‌های بیشتری روی گوشی‌ها تعریف کرده بود که در نسخه فعلی و به‌روزرسانی شده، دیگر وجود ندارد.

توکلی افزود: اکنون دسترسی به فایل‌ها وجود ندارد ولی اگر فرض کنیم کاربران یا راننده‌ها نیاز دارند که عکس پروفایل آنها روی اپلیکیشن آپلود شود، باید اپ دسترسی به مدیا و فایل‌ها وجود داشته باشد ولی این لزوماً به معنای جاسوسی اپ از فایل‌های کاربر نیست.

وی در ادامه گفت: عملاً برنامه‌نویس اپ، دسترسی‌های مورد نیاز اپ را تعریف کرده و از اندروید می‌گیرد. نکته بسیار مهم این است که به سازوکار ارزیابی و بررسی دسترسی‌ها و آسیب‌پذیری‌های اپ‌های پرکاربرد نیز نیاز داریم ولی متأسفانه هنوز زیرساخت آنها در کشور مهیا نشده است؛ به عبارتی نیازمند وجود آزمایشگاه‌هایی هستیم که کار آنها ارزیابی و تأیید امنیتی اپ‌های گوشی‌های هوشمند باشد.

این طراح و راهبر راهکارهای امنیت اطلاعات و عملیات با این که دسترسی‌های اپ‌ها در زمان نصب به کاربر نشان داده می‌شود، گفت: اگر کاربر آموزش دیده باشد، می‌تواند اجازه یا عدم اجازه دسترسی‌ها را با توجه به کاربرد اپ تنظیم کند مثلاً من به شخصه دسترسی‌های این تاکسی‌های آنلاین را غیر فعال کردم ولی اپ همچنان کار می‌کند.

توکلی به کاربران توصیه کرد برای حفظ حریم خصوصی و اطلاعات در زمان نصب اپ به دسترسی‌هایی که اپ از آنها اجازه می‌گیرد، توجه داشته باشند و در عین حال از نصب اپ‌ها از منابع غیر قانونی اجتناب کرده و در گوشی‌های خود ضد بدافزار نصب کنند.

یک کارشناس امنیت سایبری دیگر نیز با رد این موضوع که دسترسی‌های اپلیکیشن‌های مختلف از جمله تاکسی‌های اینترنتی به سیستم عامل اندروید بازمی‌گردد، به «ایران» گفت: اگر اندروید بخواهد به این مقوله وارد شود، اصلاً معنای امنیت و حریم خصوصی از بین می‌رود. در واقع کسی که اپ را می‌نویسد، این دسترسی‌ها را تعریف می‌کند که به‌ عنوان مثال به گالری، مکان شخص، مخاطبان و... دسترسی داشته باشد. از نگاه این کارشناس، در واقع اندروید یک سیستم عامل و بستر است و کسی که برنامه می‌نویسد، روی این بستر، دسترسی‌ها را مشخص می‌کند و کاربران هم می‌توانند هنگام نصب به این اجازه‌های دسترسی جواب مثبت یا منفی بدهند.

وی البته اشاره کرد که گاه اگر این دسترسی‌ها را کاربر نپذیرد، عملاً نمی‌تواند اپلیکیشن را نصب کند که در این صورت باید در مراحل بعد به‌ عنوان مثال در گالری خود عکس‌های مهم و خاص را ذخیره نکند تا مشکلی پیش نیاید. این کارشناس افزود: برای برنامه‌های پرکاربرد که در کشور مورد استفاده قرار می‌گیرد، حتماً باید سازمان‌هایی از جمله وزارت ارتباطات، اپ‌استورها (فروشگاه‌های توزیع‌کننده این برنامک‌ها) که متولی این بحث هستند، نظارت بر موضوع داشته باشند ولی گاه این فروشگاه‌ها چندان راغب نیستند به این حوزه ورود کنند چون می‌گویند مسئولیت به خود سازنده اپ بازمی‌گردد.

وی در پایان یادآور شد: این فیلم هشدار خوبی برای ۳ ذی‌نفع یعنی کاربر، مسئولان نظارت بر این موضوع و نیز شرکت‌های ارائه دهنده این سرویس‌هاست تا امکان هر مشکلی به حداقل برسد.

ضرورت حفظ حریم خصوصی

موضوع سوء‌استفاده اپلیکیشن‌های مختلف از کاربران موضوعی نیست که مختص ایران باشد و آن را می‌توان یک دغدغه جهانی دانست. در همین راستا به‌ تازگی خبری منتشر شد که نشان می‌داد بیشتر برنامه‌های اندرویدی بعد از نصب، از کاربران خود جاسوسی کرده و اطلاعات خصوصی آنها را بررسی می‌کنند. طبق این گزارش، بخش اعظم برنامه‌های اندرویدی حاوی ابزار ردگیری و کنترل فعالیت‌های کاربران هستند. بنابراین نصب این برنامه‌ها برای افراد تبعات امنیتی دارد. از نگاه محققان حاضر در این گزارش، هدف اصلی از این نوع جاسوسی‌ها شناسایی سلایق و علایق کاربران به‌ منظور ارسال تبلیغات و آگهی‌های دیجیتال مرتبط برای هر فرد است.

بر اساس بررسی یادشده از هر چهار برنامه اندرویدی، سه برنامه به ابزار ردگیری و کنترل کاربران مجهز هستند و البته بیشتر مشتریان از این امر آگاه نیستند. گفتنی است که این مشکل حتی در برنامه‌های فروشگاه گوگل‌پلی نیز وجود دارد و برنامه‌هایی مانند اسپاتیفای، اوبر، OKCupid و تیندر هم اطلاعات خصوصی کاربران را جمع‌آوری می‌کنند.

البته باید گفت که تاکسی‌های آنلاین که خود بخشی از این اپلیکیشن‌ها محسوب می‌شوند، برای رفع هرگونه شبهه‌ای تلاش‌های متعددی داشته‌اند. به‌ عنوان مثال یکی از شرکت‌های تاکسی آنلاین در راستای امن‌تر کردن سفرهای خود و ارج نهادن به حریم خصوصی کاربرانش (اعم از مسافر و راننده) از سیستم جدیدی به نام «پنهان‌سازی شماره تلفن» رونمایی کرده است که این قابلیت از شهر مشهد آغاز شده و در آینده‌ای نزدیک در سایر شهرهای محل فعالیت شرکت اجرایی می‌شود. نکته حائز اهمیت در خصوص مزیت پنهان‌سازی شماره تلفن در سفر با سرویس‌های آنلاین این است که این امکان کمک شایانی به حفظ حریم خصوصی کاربران می‌کند و گام مهمی در جهت امنیت سفرهای درون‌شهری به شمار می‌رود.»