هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور
هفته نامه عصر ارتباط - اولین و پر تیراژترین هفته نامه iCT کشور

با اجازه کاربران و مسوولان؛ بله!

آیا اپلیکیشن‌ها مجاز به ورود به حریم خصوصی مردم هستند؟
آیا اپلیکیشن‌ها مجاز به ورود به حریم خصوصی مردم هستند؟

هفته گذشته برگی دیگر از بی‌قانونی کسب‌وکارهای اینترنتی ورق خورد و مثل همیشه دود آن به چشم مردم رفت. روزی این کسب‌وکارها بدون مجوز پا در هر عرصه‌ای می‌گذارند و انبوهی از چالش‌های اقتصادی، امنیتی، اجتماعی و فرهنگی ایجاد می‌کنند. روز دیگر خبر تعرض به مردم بر اثر بی‌توجهی و بی‌مسوولیتی آنها منتشر می‌شود و یک روز خبر رواج منکرات در یک اپلیکیشن دیگر می‌رسد. روزی خبر گران‌فروشی آنها منتشر می‌شود و حالا خبر از دسترسی نامحدود برخی از این كسب‌وكارهای نوپا كه در قالب اپلیكیشن فعالیت می‌كنند به حریم خصوصی مردم، موجبات نگرانی‌های جدیدی را به بار آورده است.

وجه اشتراک تمام این مسایل، مجوز مسوولان و نهادهای متولی در این عرصه است. این مجوز در واقع با سکوت آنها صادر شده و در حال حاضر شاهد برخورد و بازخواست جدی و نتیجه‌دار در هیچ‌کدام از تخلفات نبوده‌ایم.

برخی مسوولان اما پوشش و نقشی آزاردهنده برای خود ایجاد کرده‌اند و صرفا خود را مسوول تضمین درآمدزایی کسب‌وکارهای اینترنتی می‌دانند تا فردا در کارنامه عملکرد خود آن را به رخ رقبای سیاسی بکشند. این قبیل مسوولان اصولا کاری به نقش خود در زمینه‌سازی وقوع برخی مشکلات و جرایم ندارند و وقتی هم با پرسش‌هایی در این خصوص مواجه می‌شوند، آدرس پلیس و دادگاه را می‌دهند که وظیفه برخورد با تخلف به عهده آنهاست.

حال آنکه بستر و سرچشمه وقوع تخلفات از سوی این مسوولان فراهم شده است؛ آن‌هم از طریق بی‌قانونی، سکوت، انتقاد از منتقدان و جلوگیری از اجرای اقدامات قانونی.

** اگر این موضوع را به شائبه رانت برخی کسب‌وکارهای شناخته‌شده اینترنتی در ایران اضافه کنید، صورت‌مساله تا حدودی روشن می‌شود و اینجاست که متوجه می‌شوید چرا انتقادها تنها در سطح رسانه‌ها باقی می‌ماند و هیچ خدشه‌ای به درآمدزایی ایشان وارد نشده و نمی‌شود.**

 

نگرانی جدید چیست؟

یكی از مسایل نگران‌كننده در خصوص بخش بزرگی از اپلیكیشن‌های ایرانی، دسترسی‌های خارج از عرف و بیش از میزان مورد نیاز برای نصب و استفاده از این برنامه‌ها است. برای مثال، برای یك اپلیكیشن ماشین‌حساب نیازی به دسترسی به گالری گوشی هوشمند كاربر نیست، اما برخی برنامه‌نویسان ایرانی چنین دسترسی‌هایی را طلب می‌كنند. با توجه به اینكه برای نصب برنامه ناچار باید شرایط برنامه‌نویس پذیرفته شود، كاربران ایرانی نیز دانسته یا نادانسته تن به پذیرش این قرارداد تركمنچای داده و برای استفاده از برنامه، اجازه دسترسی كامل به حافظه موبایلشان را می‌دهند. البته آن‌طور كه یك برنامه‌نویس به خبرنگار ما گفته، در سیستم‌عامل‌های iOS این دسترسی‌ها به‌صورت اتوماتیك محدود می‌شود و در سیستم‌عامل اندروید نیز گاه می‌توان با برداشتن برخی تیك‌ها كمی میزان دسترسی‌ها را محدود كرد. با این وجود در خصوص برخی برنامه‌ها دسترسی‌ها به‌گونه‌ای تعریف شده كه امكان برداشتن تیك هم وجود ندارد.

در هفته‌های اخیر موضوع دسترسی‌های نامتعارف اپلیكیشن‌های ایرانی تحت تاثیر اقدامات یك اپلیكیشن تاكسی‌یاب شكل جدی‌تری به خود گرفت که رسیدگی به آن وظیفه رسانه‌ها نبوده و مسوولان متولی باید چاره‌ای بیندیشند.

ماجرا از جایی آغاز شد که یک اپ تاكسی اینترنتی كه در سایه فعالیت نكردن نمونه‌های خارجی رشد قابل توجهی داشته است، از كاربرانش خواسته بود نسخه جدید را دانلود كنند و به محض دانلود نسخه جدید تغییراتی روی گوشی آنها ایجاد شده كه از آن پس استفاده از یک نرم‌افزار مسیریاب خارجی حتی با فیلترشكن برای آنها ناممكن شده است؛ موضوعی که شائبه دسترسی این اپلیکیشن به محتوای داخلی گوشی دارندگان آن را ایجاد کرد.

چیزی از این اتفاق نگذشته بود كه انتشار فیلمی در سطح فضای مجازی در خصوص میزان دسترسی‌هایی كه اپ‌های تاكسی‌یاب می‌خواهند، مشخص كرد كه اپلیکیشن تاكسی‌اینترنتی مذكور دسترسی‌های بی‌جهت و بیش از نیاز خود را می‌خواهد. این دسترسی‌ها شامل دسترسی به پیامك‌ها، دسترسی به سایر اپ‌های گوشی و درصورتی كه حساب ایمیل یا تلگرام و سایر پیام‌رسان‌های موبایلی آنها فعال باشد، می‌شد و دسترسی به تمام این موارد وجود داشت.

توجیهی به نام اجازه داریم

در پاسخ به این اقدام نگران‌کننده، مالکان این تاکسی ‌اینترنتی می‌گویند مجوز گرفته‌ایم که به محتویات گوشی کاربران دسترسی داشته باشیم و با همین توجیه ساده دسترسی خود به موقعیت، فهرست مخاطبان، حافظه جانبی و حافظه تلفن همراه كاربران را در اختیار گرفته‌اند. یكی از تاكسی‌های اینترنتی فعال در كشور كه سرمایه‌گذار خارجی دارد، در حالی تمام این دسترسی‌ها را از كاربران خود می‌خواهد كه از آی‌پی‌های بین‌المللی استفاده كرده و اطلاعات آن به جای اینترانت و در شبکه داخلی کشور در اینترنت كه فضای بین‌المللی و با نظارت بسیار محدودتری است قرار دارد. استفاده از نقشه گوگل نیز باعث می‌شود كه تمام جا‌به‌جایی‌های كاربران ایرانی در طول روز مشخص بوده و یك نسخه آن در اختیار گوگل نیز قرار بگیرد.

علاوه بر این، به گفته یك كارشناس فضای مجازی، برخی از اپلیكیشن‌های ایرانی یا سیستم رمز‌نگاری ندارند یا اگر دارند سیستم رمز‌نگاری‌شان خارجی است؛ به این معنا که همه داده‌ها می‌توانند به‌صورت پنهان و بدون اینکه کاربر متوجه شود به‌صورت رمز در‌آیند و از گوشی خارج شوند و به خارج از کشور بروند. برای نمونه، اجازه دسترسی به گالری می‌تواند تمامی عکس‌های موجود در گوشی تلفن همراه شما را بدون اینکه متوجه شوید به‌صورت رمز بیاورد و منتقل کند. همین مساله درباره دفترچه تلفن گوشی تلفن همراه و دسترسی به شماره تلفن‌های موجود در آن هم وجود دارد.

قوانین چه می‌گوید؟

باید توجه داشت كه موضوع اپلیكیشن‌های موبایلی موضوعی به نسبت جدید محسوب می‌شود و با توجه به سرعت پایین سیستم قانون‌گذاری در كشور، نباید انتظار داشت كه به این زودی‌ها قانون تخصصی برای این اپ‌ها وضع شده و به‌اجرا گذاشته شود. با این وجود اما قوانین پیشین و قانون اساسی چارچوب‌‌های اصلی حریم‌خصوصی را مشخص كرده و طبیعتا برنامه‌نویسان و ارایه‌كنندگان اپلیكیشن‌های موبایلی نیز باید آن را مورد توجه قرار دهند.

در ماده۴ قانون آیین‌دادرسی‌کیفری مصوب سال۱۳۹۲ به‌صراحت گفته شده: «اصل، برائت است. هرگونه اقدام محدودکننده، سالب آزادی و ورود به حریم خصوصی اشخاص جز به حکم قانون و با رعایت مقررات و تحت نظارت مقام قضایی مجاز نیست.»

به این ترتیب باید گفت این فقط قانون است كه با رعایت ضوابط و مقررات ویژه و آن هم با نظارت مقام قضایی می‌تواند به حریم شخصی افراد ورود كند. این در حالی است كه دسترسی‌های نامتعارف و بی‌جهت اپلیكیشن‌های ایرانی در عمل موجب شده تا امكان ورود به حریم شخصی افراد فراهم شود.

جالب است بدانید كه حریم خصوصی در نگاه قانون‌گذار چنان اهمیتی دارد که حتی مقامات قضایی را جز به حکم قانون، مجاز به ورود در حریم شخصی متهم نمی‌داند.

آن‌طور كه در برخی از گزارش‌ها آمده، شرکت «اپل» به‌دلیل آنکه بعضی از نرم‌افزارهای ایرانی حریم خصوصی افراد را نادیده می‌گرفتند، آنها را از فهرست دانلودهای «اپ‌استور» حذف کرده است. مدیران اپل اعتقاد داشتند دسترسی بعضی از اپلیکیشن‌ها به اپ‌‌های بانک‌های ایرانی محل شبهه است. این موضوع نشان می‌دهد كه حتی فروشگاه‌های اپلیكیشن خارجی برای حفظ حریم خصوصی كاربران خود اهمیت بالایی قائل‌ بوده و حاضر نیستند آن را حتی به قیمت ریزش مخاطبان خود نادیده بگیرند.

به گفته كارشناسان، راه‌حلی که اکنون در کشورهای توسعه‌یافته برای جلوگیری از سوءاستفاده سرویس‌دهندگان اپلیکیشن‌ها مورد استفاده بوده، این است که پیش از فروش هر نرم‌افزاری آن نرم‌افزار به ثبت می‌رسد و پس از ثبت، تمام اطلاعات آن در اختیار مردم قرار می‌گیرد.

با این رویه، ارایه‌دهندگان اپ‌های موبایلی ملزم می‌شوند كه متن برنامه‌هایش را باز بگذارند که همه افراد آنها را مشاهده كرده و اپ‌ها از فضایی که قابل مشاهده است، اجرا شود.

نرم‌افزار پیام‌رسان تلگرام با وجود تمام انتقادهایی كه در خصوص آن مطرح می‌شود، این كار را انجام داده و تمام دیتاهایش پیش روی مردم است. اگر این شفاف‌سازی در خصوص تمام اپ‌های ایرانی ایجاد شود، به‌راحتی افراد متخصص عملکرد نرم‌افزار را بررسی كرده و نتیجه را از طریق رسانه‌ها در اختیار عموم مردم قرار می‌دهند.

«لطفا» به جای «قانون»!

در حال حاضر هیچ قانون مشخصی برای چارچوب فعالیت اپ‌های موبایلی و مشخص شدن میزان دسترسی‌های مجاز آنها وجود ندارد. نکته قابل توجه آنکه سازمان فناوری اطلاعات وزارت ارتباطات نیز به جای رفتن به سمت الزامات قانونی، به‌تازگی ترجیح داده یک توصیه‌نامه غیرالزام‌آور منتشر کرده و رعایت آن را به عهده فروشگاه‌های داخلی عرضه اپلیکیشن گذاشته است.

معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات گفته كه به‌دلیل گستره وسیع تولید و استفاده از نرم‌افزارهای کاربردی تلفن همراه، توصیه‌های ارتقای امنیت برای توزیع‌کنندگان برنامه‌های سامانه‌های هوشمند تهیه كرده و برای بهره‌برداری در اختیار صاحبان این کسب‌وکارها قرار داده است.

بر اساس اعلام سازمان فناوری اطلاعات، برای این منظور، مطالعاتی در این سازمان انجام گرفته و پس از نشست مشترک با مدیران کسب‌وکارهای مرتبط در حوزه توزیع و انتشار برنامه‌های کاربردی موبایلی و اخذ نظر مشورتی و دیدگاه‌ها و دغدغه‌های آنها، نخستین بسته توصیه‌های امنیتی مربوط به این حوزه تهیه و نهایی شده است.

معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات، یکی از مشکلاتی را که از سوی صاحبان کسب‌وکارها برای اجرایی شدن این توصیه‌نامه مطرح می‌شود، نداشتن تجهیزات آزمایشگاهی عنوان کرده و گفته است: مقرر شد تا زمان تامین و تکمیل شدن آزمایشگاه‌های مربوط به هریک از توزیع‌کنندگان محتوا، مرکز ماهر با درنظر گرفتن اولویت‌هایی مانند اهمیت برنامه و تعداد مخاطبان، ارزیابی‌های لازم را انجام داده و در صورت وجود مخاطرات احتمالی، مراتب به تولیدکننده و توزیع‌کنندگان برنامه به‌صورت مستقیم اطلاع داده شود. توصیه‌نامه مذکور در سه بخش تهدیدهای توزیع برنامه‌ها، توصیه‌های امنیتی برای رفع این تهدیدها و استانداردهای فنی دنیا برای امن‌سازی برنامه‌های کاربردی موبایلی منتشر شده است.

اما همان‌طور که ذکر شد، این موارد توصیه‌هایی غیرالزام‌آور محسوب می‌شوند.

نگرانی‌های امنیتی

نکته اینجاست که برخی از این اپلیکیشن‌ها مشخص نیست كه چرا چنین دسترسی‌های گسترده‌ای را طلب می‌كنند. پس از دسترسی به این موارد با اطلاعات مردم چه می‌کنند و چه تضمینی برای اینکه خود هک نشده و زمینه‌ساز لو رفتن اطلاعات مردم نشوند، وجود دارد.

نباید فراموش كرد كه بسیاری از اپ‌نویس‌های ایرانی سن بسیار پایینی داشته و به هر روی این احتمال وجود دارد كه از روی كنجكاوی و شیطنت هم كه شده برخی از اطلاعات شخصی كاربران را ببینند. فراموش نكنیم كه حتی با فرض اینكه تمام اپ‌نویسان كاملا اخلاق‌مدار باشند، باز هم درخواست دسترسی‌های غیرمتعارف به اطلاعات گوشی‌های مردم غیرقابل توجیه است.

یکی از نگرانی‌های موجود این است که با هك شدن اكانت مدیریت هر یك از این اپ‌ها با توجه به امكان دسترسی به اطلاعات كاربران، تمام اطلاعات كاربران در اختیار هكر قرار می‌گیرد.

**فراموش نكنید كه هك سایت دوست‌یابی اشلی مدیسون و انتشار اطلاعات كاربران آن توسط هكر حتی موجب خودكشی چند نفر از كسانی كه اطلاعات آنها افشا شده بود، شد. پس وقتی چنین اتفاقی برای یكی از بزرگ‌ترین سایت‌های دوست‌یابی آمریكا و جهان كه از طریق سیستم‌های امنیتی بسیار باكیفیت محافظت می‌شود می‌افتد، چندان دور از ذهن نیست كه این اتفاق برای اپلیكیشن‌های ایرانی هم افتاده و هك آنها فاجعه‌ای مشابه را رقم بزند.**

به این نکته نیز باید توجه داشت كه برخی از اپ‌های فعال در كشور از جمله یك اپلیكیشن پرطرفدار تاكسی اینترنتی كه در ایران فعال است، سرمایه‌گذاران خارجی دارند و در نتیجه امكان دسترسی به اطلاعات كاربران ایرانی برای آنها نیز وجود خواهد داشت.

یک اپ‌نویس جوان که اپلیکیشن طراحی‌شده توسط وی در حال حاضر روی گوشی 5/1 میلیون نفر نصب شده است، به خبرنگار ما می‌گوید: اپلیکیشن ما در حوزه طراحی عکس است و به همین منظور یکی از دسترسی‌ها به بخش گالری گوشی (جایی که عکس‌ها و فیلم‌ها ذخیره می‌شود) در واقع اجتناب‌ناپذیر است. اما موضوع اینجاست که دسترسی به گالری در واقع دسترسی ما به کل File Manager گوشی (تمام فایل‌های روی گوشی) را امکان‌پذیر می‌کند.

**وی در پاسخ به اینکه از این طریق آیا امکان مشاهده و انتقال عکس‌ها و فیلم‌های مردم از طریق گوشی تلفن همراه آنها را دارید یا نه؟ می‌گوید: بله، چنین امکانی وجود دارد و می‌توانیم از طریق برنامه و یک کد دستوری که مثلا تمام فایل‌های .jpg یا .mov (تمام عکس‌ها و فیلم‌های کاربران) را در زمانی که آنلاین می‌شوند، به سرورهای خود منتقل کنیم و به آنها دسترسی داشته باشیم.**

توصیه‌هایی به کاربران

از آنجا که همچون موارد متعدد دیگر انتظار اقدام و برخوردی نداریم، حداقل توصیه‌هایی به خودمان یعنی مردم و كاربرانی ایرانی ارایه می‌دهیم.

همیشه باید توجه داشته باشید كه هر اپلیكیشنی دسترسی‌های ویژه خود را از شما طلب می‌كند كه البته ممكن است صادر كردن اجازه این دسترسی‌ها به بهای از دست رفتن حریم شخصی‌تان تمام شود. در زمان نصب هر اپلیكیشن به شما توضیح داده می‌شود كه شما با نصب این اپ اجازه چه دسترسی‌هایی را به برنامه می‌دهید. اگر از اندروید 7 به بالا استفاده می‌كنید، می‌توانید در صورت غیر‌مربوط بودن دسترسی خواسته‌شده با موضوع اپ، این دسترسی‌ها را محدود كنید. اما اگر برنامه اجازه محدود كردن این دسترسی را به شما نمی‌دهد و اعلام می‌کند که باید به تمام دسترسی‌هایش اجازه فعال شدن بدهید، بهتر است كلا قید نصبش را بزنید.

فراموش نكنید كه همواره دسترسی‌های خواسته‌شده توسط برنامه باید مرتبط با خدمتی كه ارایه می‌دهد باشد. برای مثال، دسترسی به گالری عكس اگرچه برای یك اپلیكیشن ارایه‌دهنده خدمات گرافیكی می‌تواند لازم باشد، اما به‌هیچ‌وجه برای یك اپ تاكسی‌یاب كاربرد ندارد؛ همان‌طور كه دسترسی به موقعیت فرد هم هیچ ارتباطی با موضوع فعالیت یك اپلیكیشن گرافیكی ندارد.

پس اگر برنامه‌ای از شما دسترسی نامرتبط با موضوع فعالیتش را می‌خواست یا با برداشتن تیك مربوطه این درخواست را محدود كنید یا به‌کل ریسک نکرده و آن را نصب نکنید؛ چون در صورت افشای اطلاعات و تصاویر خصوصی شما در فضای مجازی، امکان پیدا کردن عامل رخنه در گوشی کار ساده‌ای نیست.   

از تمامی این توصیه‌ها مهم‌تر، این است که منتظر قانون و مقررات و مسایلی از این دست نمانده و به‌هیچ‌وجه عكس‌ها، ویدیوها و محتوای خصوصی و باارزش روی گوشی و کامپیوتر ذخیره و نگهداری نكنید. فراموش نکنید هر ابزاری که به اینترنت متصل می‌شود، همه نوع امکانی برای انتقال اطلاعات و مشاهده شما را دارد؛ از تلویزیون‌های هوشمند گرفته که رسما اعلام شد صدا و تصویر شما را به سرورهای خود منتقل می‌کنند تا گوشی و کامپیوتر.

درج دیدگاه

بررسی بازی