رباتهای بهاصطلاح ناشناس میتوانند امنیت و حریم خصوصی را حراج کنند
هک شدن سه ربات ناشناس تلگرامی توسط افرادی از تیم آکادمی ووریکس اطلاعات تکاندهنده و نگرانکنندهای درباره به خطر افتادن امنیت و حریم خصوصی کاربرانی که از این رباتهای ناشناس برای چت کردن، ارسال عکس و ویدیو و... استفاده میکردند را افشا کرد. این هک نشان داد که این سه بات تلگرامی اطلاعات بیش از ۱۴ میلیون کاربر را ذخیره کردهاند. این اطلاعات ۴۶۹ میلیون متن، حدود ۱۱ میلیون عکس و ۳ میلیون ویدیو را شامل میشد که افشای بسیاری از آنها میتوانست منجر به خطر افتادن امنیت این کاربران شود.
در سالهای اخیر که استفاده کاربران از این رباتهای ناشناس اوج گرفته بود، کارشناسان بارها نسبت به استفاده از این باتها هشدار داده و تاکید کرده بودند که هیچ ربات ناشناسی کاملا ناشناس نیست و ناامنی این باتها میتواند عواقب جدی داشته باشد.
وحید فرید، فعال حوزه تکنولوژی و امنیت، در گفتوگو با زومیت به فرض اشتباهی که افراد درباره این رباتهای اصطلاحا ناشناس دارند اشاره کرده و توضیح میدهد: «افراد فرض میکنند وقتی با ربات ناشناس کار میکنند، این ربات آنها را نمیشناسد. این فرض کاملا اشتباه است و ربات ناشناس اطلاعات پابلیک اکانت کاربر را میبیند. اسم این رباتها اساسا غلطانداز است. ربات ناشناس، ناشناس نیست. فقط خود کاربر نمیبیند که چه اطلاعاتی دارد تبادل میشود. در واقع، ربات برای شما ناشناس است اما شما برای ربات ناشناس نیستید.»
آرین اقبال، کارشناس حوزه فناوری اطلاعات، هم توضیح میدهد که «هر مدلی از چت ناشناس با هر شیوهای که پیادهسازی شده باشد ناامن است. امکان ندارد شما بتوانید ربات چت ناشناس امن داشته باشید. چون در سمت کلاینت تنها راه ایجاد امنیت رمزنگاری انتهابهانتها (end-to-end Encryption) است و چون تلگرام در مورد رباتها چنین امکانی را ایجاد نمیکند ربات چت ناشناس ذاتا ناامن است و انگیزه راهاندازی چنین رباتی هم بسیار مشکوک است.»
هر مدلی از بات ناشناس با هر مدل پیادهسازی، ناامن است
علاوه بر این، رباتهای بهظاهر ناشناس میتوانند کاربر را برای دیگران هم شناس کنند؛ یعنی میتوانند کاربر را به دیگران هم معرفی کند. چون این رباتها کاربر را میشناسند، میتوانند در ازای دریافت پول یا با هر انگیزه دیگری کاربر را به بقیه معرفی کنند و اطلاعاتش را در اختیار دیگران بگذارند.
نکته دیگر درباره رباتهای ناشناس این است که اساسا برای ما ناشناختهاند و کسی نمیداند چه کسی آنها را راه انداخته؛ در واقع این رباتها موجودیت حقیقی یا حقوقی شناختهشده ندارند و کسی که این رباتها را مینویسد به هیچ سازوکاری هم پاسخگو نیست.
این پاسخگو نبودن و ناشناختگی به سازندگان این رباتها را آزاد میگذارد که به هر طریقی که مایل باشند از کاربران و اطلاعاتشان سوءاستفاده کنند. فرید درباره این موضوع این طور توضیح میدهد:
این سازنده ربات است که تصمیم میگیرد با اطلاعاتی که از کاربر دارد چه کار کند. میتواند این اطلاعات را به طرف ثانویه بفروشد. در مورد اخیری که سرور رباتهای ناشناس هک شدند دیدیم که صاحبان این رباتها اطلاعات را نگه داشته بودند و برایشان کاملا مشخص بود که یک اکانت تلگرام چه چیزی را به چه کسی فرستاده یا چه فایلی را برای چه کسی فرستاده است.- وحید فرید، فعال حوزه تکنولوژی و امنیت
اقبال هم به همین آزادی صاحب ربات در استفاده از اطلاعاتی که در اختیار دارد اشاره میکند: «ما اصلا نمیدانیم در سمت سرور ربات چه اتفاقی میافتد. کدی که آن طرف وجود دارد مشخص نیست و کسی که کد را نوشته چون هویت هر دو طرف چت ناشناس را میداند و محتوا، یعنی متن، ویدیو و عکس، بهصورت شفاف در اختیار دارد، بنابراین، هر کاری بخواهد میتواند انجام دهد.»
صاحب ربات همه اطلاعات کاربر و دیتای ردوبدلشده در چت ناشناس را در اختیار دارد
رباتهای تلگرامی به شناسه تلگرام کاربر متصل هستند و سازوکارشان به صورتی است که وقتی به ربات پیغام میدهید، تلگرام اطلاعات اکانت شما را به سروری خارج از سرورهای تلگرام ارسال میکند. یعنی اگر شما در تنظیمات تلگرام خود شماره موبایلتان را برای همه به نمایش گذاشته باشید سرور ربات هم آن را میبیند؛ اما اگر اطلاعات خاصی را فقط برای مخاطبانتان -نه بهصورت عمومی- نمایش داده باشید، ربات تلگرامی و سرور ثانویه این اطلاعات را نمیبیند.
علاوه بر این اطلاعات، متنها و تصاویر ردوبدل شده بین فرستنده و گیرنده هم توسط سازنده ربات ذخیره شده که نشان میدهد قصد و نیت خاصی از ساختن این رباتها وجود داشته است. وحید فرید در این خصوص میگوید:
سازنده این رباتها احتمالا هدفی داشته که همه این اطلاعات را نگه داشته است، چون این امکان را داشته که اطلاعات را ذخیره نکند. صاحب این ربات میتوانست انتقال اطلاعات به اکانت ثانویه (گیرنده) را On the Fly انجام دهد و آنها را نگه ندارد اما این کار را انجام نداده و همه آنها را ذخیره کرده است.- وحید فرید، فعال حوزه تکنولوژی و امنیت
یک ربات در صورتی که پیام یا فایلی را پس از انتقال از طرف اول به طرف دوم از بین ببرد و ذخیره نکند میتواند امن باشد اما در مورد رباتها مساله این است که راهی برای فهمیدن این که آیا اطلاعات ذخیره شده یا نه نداریم.
البته فرید به امکاناتی که در بعضی کشورها برای شناسایی میزان امن بودن رباتها وجود دارد اشاره کرده و میگوید: «در سایر کشورها یک شخص ثالث، مثلا شرکتهایی که در این حوزه کار میکنند، میتوانند امنیت سرور ربات را تضمین کنند. مثلا شرکت بگوید هر سه ماه یک بار سرور ربات ناشناس را بررسی میکنم و میدانم که اطلاعات را ذخیره نمیکند. اما در کشور ما چنین شرکتهایی نداریم و کسی نمیتواند تضمین کند که یک ربات امن است.»
انگیزه ساخت این ربات و صرف هزینه سنگین برای تامین سرور و فضای ذخیرهسازی چیست؟
آرین اقبال انگیزه پشت ساخت رباتهای ناشناس را مشکوک میداند و این سوال را مطرح میکند که «سازنده این ربات از این که برای سروری که بتواند این حجم از دیتا را پردازش کند و برای فضای ذخیرهسازی که بتواند این حجم از اطلاعات را ذخیره کند چه هدف و نیتی داشته؟» او میگوید:
بعید است که صرفا برای سرگرمی یا فراهم کردن بستری برای چت ناشناس دیگران این کار را کرده باشد؛ قطعا قصد و نیتی وجود داشته است. حالا یا این قصد و نیت برنامهریزیشده و از طرف فرد یا گروهی بوده که میخواسته از مردم اطلاعات داشته باشد یا فقط سرگرمی احمقانه یک دولوپر بوده است. هدف اصلی را نمیدانم اما قطعا بهصورت عمدی در حال مانیتور کردن اطلاعات مردم بوده و این کار صرف نظر از جرم بودنش، بسیار هم خطرناک است.- آرین اقبال، کارشناس حوزه فناوری اطلاعات
وحید فرید هم با اشاره به این که ذخیره کردن چندین ترابایت اطلاعات پول زیادی میخواهد، توضیح میدهد که حتما این هزینه از یک جایی تامین میشود و صاحب ربات احتمالا منفعت خاصی میبرد که برای چنین فضای ذخیرهسازی بزرگی هزینه میکند: «ممکن است در پس داشتن چنین رباتی منفعت اقتصادی باشد یا شاید صاحب ربات به دنبال کسب قدرت است. یعنی اطلاعاتی را از اشخاص دریافت و نگهداری کند تا کسانی را تحت فشار قرار دهد یا آنها را تهدید کند.»
او در ادامه نیز توضیح میدهد که کل منفعت مالی این رباتها یکی این است که از کاربر پول میگیرد تا اطلاعاتی بیشتر از آنچه به همه نشان میدهد را به او نشان دهد؛ مثلا پول بیشتر میگیرد که به کاربر بگوید یک پیام از چه اکانتی ارسال شده است.
تصاویر و اطلاعات خصوصی افراد زیر سن قانونی در رباتهای ناشناس تبادل میشود که میتواند منفعت اقتصادی قابل توجهی برای صاحبان باتها داشته باشد
یک منفعت مالی دیگر هم مربوط به اطلاعات خاصی، مثل عکسهایی است که از طریق این رباتها ارسال میشود که «یا تصاویری هستند که در حالت عادی آدمها برای کسی ارسال نمیکنند یا همان طور که اخیرا بحثش مطرح شده بود، مربوط به تصاویر غیر اخلاقی کودکان است. این مورد دوم به دلیل منافع مالی فراوانی که دارد ممکن است زمینهساز تجارت از این حوزه بشود و انگیزه بزرگی برای سازندگان رباتها باشد.»
اقبال هم به موضوع اطلاعات مربوط به کودکان اشاره میکند و به زومیت میگوید: «در این رباتها بحث چت کردن افراد زیر سن قانونی باهم یا این افراد با افراد بزرگتر از خود مطرح شده؛ به علاوه، افراد در این فضاهای ناشناس تهدید هم میشوند. کسی که این ربات را نوشته با داشتن محتوای خصوصی کاربران ابزار فشار بسیار قدرتمندی در اختیار دارد. اطلاعات خصوصیای در دست آنهاست که خود کاربران هم حاضر نیستند آنها را بهصورت عمومی منتشر کنند. بنابراین، کسی که این اطلاعات را در اختیار دارد میتواند از آن برای باجگیری و سوءاستفاده از افراد استفاده کند.»
این کارشناس حوزه فناوری اطلاعات در پایان به یک نکته مهم و قابل تامیل هم اشاره میکند:
وقتی یک نفر به همین راحتی این ربات را هک کرده، قطعا یک گروه هکری کلاه سیاه یا سازمان اطلاعاتی خیلی راحتتر میتوانستند این کار را انجام دهند. با توجه به ناامن بودن این رباتها و دیتای مهمی که در آن وجود دارد، به احتمال زیاد این ربات قبل از این هم هک شده و از اطلاعاتش سوءاستفاده شده است. مثلا ممکن است اطلاعات، چتها، عکسها و ویدیوها در اختیار گروههای هکری یا نهادهای خاصی قرار گرفته باشد.- آرین اقبال، کارشناس حوزه فناوری اطلاعات
این موضوعی است که خود هکرهای آکادمی ووریکس هم به آن اشاره کرده بودند. امیرمحمد صفری که هک این رباتها را انجام داده در صفحه توییترش نوشته: «وقتی دسترسی گرفتم به رباتا و حجم دیتا رو دیدم، تا ساعتها گیج بودم، نمیدونستم باید خوشحال باشم که قراره دیتاها رو پاک کنم یا ناراحت باشم که چه کسایی تا الان از این اطلاعات سوءاستفاده کردن؟»
این که تا امروز اطلاعات میلیونها کاربر چطور رصد شده و چند مورد از آنها افشا شده و چه آسیبهایی به امنیت افراد وارد شده نکات مهمی است که در نتیجه هک رباتهای ناشناس مطرح شده است. رباتهایی که فقط به اسم، ناشناس هستند میتوانند بهراحتی هر یک از کاربران را شناسایی کرده و در معرض تهدید و سوءاستفاده قرار دهند. رباتهایی که تا امروز بسیاری از کاربران ایرانی از آنها استفاده کردهاند حالا چهره عریانشان پیش روی ما قرار گرفته و این عریانی به ما ثابت کرده است رباتهای ناشناس محبوب به هیچ وجه ابزار قابل اعتماد و سالمی نیستند.
نظرات